怎么去測(cè)試一個(gè) app 是否存在安全問(wèn)題？App 層面上，什么類型的才算得上是一個(gè)安全漏洞？

第一：這個(gè)app應(yīng)用是否能真正保護(hù)用戶的隱私不會(huì)被竊取；這點(diǎn)也是最重要的，相信大多數(shù)人也都反感自己的資料被廣告商所販賣吧！

第二：測(cè)試這個(gè)app本身是否存在漏洞？容易被手機(jī)病毒入侵，導(dǎo)致手機(jī)數(shù)據(jù)丟失或者手機(jī)系統(tǒng)被破壞；

第三：運(yùn)行過(guò)程中會(huì)不會(huì)出現(xiàn)突然閃退的情況？如果這個(gè)app有交易功能那么他的交易接口是否安全，會(huì)不會(huì)被劫持，造成資金的損失。

所以這類安全性測(cè)試，是app專項(xiàng)測(cè)試中必須要做的一環(huán)，現(xiàn)在由必安全實(shí)驗(yàn)室的專業(yè)測(cè)試人員來(lái)給大家簡(jiǎn)單列舉下目前常做的測(cè)試類別：

1. 用戶隱私

• 檢查是否在本地保存用戶密碼，無(wú)論加密與否

• 檢查敏感的隱私信息，如聊天記錄、關(guān)系鏈、銀行賬號(hào)等是否進(jìn)行加密

• 檢查是否將系統(tǒng)文件、配置文件明文保存在外部設(shè)備上

• 部分需要存儲(chǔ)到外部設(shè)備的信息，需要每次使用前都判斷信息是否被篡改

2. 文件權(quán)限

• 檢查App所在的目錄，其權(quán)限必須為不允許其他組成員讀寫

3. 網(wǎng)絡(luò)通訊

• 檢查敏感信息在網(wǎng)絡(luò)傳輸中是否做了加密處理，重要數(shù)據(jù)要采用TLS或者SSL

4. 運(yùn)行時(shí)解釋保護(hù)

• 對(duì)于嵌有解釋器的軟件，檢查是否存在XSS、SQL注入漏洞

• 使用webiew的App，檢查是否存在URL欺騙漏洞

5. Android組件權(quán)限保護(hù)

• 禁止App內(nèi)部組件被任意第三方程序調(diào)用。

• 若需要供外部調(diào)用的組件，應(yīng)檢查對(duì)調(diào)用者是否做了簽名限制

6. 升級(jí)

• 檢查是否對(duì)升級(jí)包的完整性、合法性進(jìn)行了校驗(yàn)，避免升級(jí)包被劫持

7. 3rd庫(kù)

• 如果使用了第三方庫(kù)，需要跟進(jìn)第三方庫(kù)的更新

然而，對(duì)于個(gè)人用戶、獨(dú)立開(kāi)發(fā)者、沒(méi)資金的創(chuàng)業(yè)開(kāi)發(fā)團(tuán)隊(duì)來(lái)說(shuō)，不懂技術(shù)沒(méi)有專業(yè)人員但是又比較在意手機(jī)應(yīng)用APP的安全性能該怎么辦？一個(gè)免費(fèi)的在線APP檢測(cè)平臺(tái)是你們必須知道的！這里就給大家介紹一個(gè)親測(cè)免費(fèi)的專業(yè)移動(dòng)應(yīng)用安全平臺(tái)：

必安全APPBeSafe

由北京鼎源科技聯(lián)合北京理工大學(xué)共同建立的移動(dòng)應(yīng)用安全基地推出的線上移動(dòng)應(yīng)用安全平臺(tái)

第一步：當(dāng)然是進(jìn)入必安全網(wǎng)站，然后在欄目頁(yè)上選擇安全檢測(cè)欄目

第二步：注冊(cè)一個(gè)賬號(hào)，一般個(gè)人用戶的話，所需也就是手機(jī)號(hào) 身份證 和證件照，關(guān)于這點(diǎn)可以理解，比較對(duì)于平臺(tái)來(lái)說(shuō)，無(wú)法確保測(cè)試者所檢測(cè)的APP是否自己的，以及相關(guān)用途，可以通過(guò)這種方式，給大家提個(gè)醒。

第三步：注冊(cè)完成進(jìn)入個(gè)人的會(huì)員中心，左邊欄目條可以看到很多選項(xiàng)，選擇“檢測(cè)記錄”則會(huì)看到上圖的界面，如果想繼續(xù)下去，那么你需要去找一個(gè)需要檢測(cè)的目標(biāo)apk

第四部：首先我們?nèi)ヒ粋€(gè)正規(guī)的手機(jī)應(yīng)用下載渠道，選擇目標(biāo)應(yīng)用的apk，現(xiàn)在選擇的這個(gè)APP應(yīng)用則是下載量接近3500萬(wàn)次平臺(tái)內(nèi)排名前十的應(yīng)用，我們把它的apk下載到電腦上

第五步：續(xù)接上面第三個(gè)步奏，把已經(jīng)下載好的apk傳到必安全平臺(tái)上，上傳速度視個(gè)人網(wǎng)速和apk的大小不同，一般都能在一兩分鐘內(nèi)上傳完畢。

第六步：上傳完成選擇提交應(yīng)用，后面完全就不需要操作什么，平臺(tái)會(huì)給出一個(gè)友善的提示后轉(zhuǎn)入“檢測(cè)記錄”頁(yè)面，這里可以看到剛剛檢測(cè)過(guò)apk的狀態(tài)，也能看到之前檢測(cè)過(guò)的記錄。檢測(cè)過(guò)程很快，說(shuō)話間已經(jīng)檢測(cè)完成。

最后：檢測(cè)完成后，可以在操作項(xiàng)下選擇詳情，簡(jiǎn)略的得出目標(biāo)apk的漏洞數(shù)量和安全性評(píng)級(jí)。如果需要詳細(xì)知道這些漏洞如何得出的，那么可以選擇“下載安全檢測(cè)報(bào)告”然后會(huì)得到一份以apk名稱的檢測(cè)報(bào)告，整個(gè)的測(cè)試項(xiàng)目和分析報(bào)告，全部涵蓋，是不是很有逼格！