关于移动应用的安全测试，你了解吗？

安全性成为了信息化时代的热门话题，随着移动应用程序数目的成倍增长，并且在人们生活中担任着重要的角色，人们对安全的要求更高，高度的安全性对于用户的留存具有重要作用。让用户知道什么信息被收集，应用程序收集信息的方式和原因是非常重要的。移动应用程序只应该收集那些必要的数据。

本文章将概述移动应用程序面临的安全挑战以及如何在克服这些挑战的同时，保护用户的数据。

什么是安全测试？

移动应用安全测试可以帮助确保软件中没有任何可能导致数据丢失的漏洞。这些测试旨在e对应用程序进行攻击，以识别外部人员或系统访问存储在移动设备上的隐私信息的可能存在的威胁和漏洞。

为什么做安全测试很重要？

我们在移动设备上存储了很多信息。泄露这些信息可能会对设备和用户造成严重损害。加密数据只是一个可能的解决方案，并不是万无一失的 ， 所有可以加密的东西都可以被解密。

移动应用安全测试的挑战

1.与其他应用程序集成

通常，测试人员会执行集成测试，以查看应用程序是否能与其他应用程序交互（例如，将您在浏览器应用程序上阅读的文章分享到Facebook）。这里要注意的是，信息从一个应用程序移动到另一个应用程序而不会泄漏，最好的解决方案是保护和隔离数据。

应用程序和移动设备的环境和结构不一致可能导致安全漏洞。在不同的操作系统上执行移动测试可以帮助确保这一点。

2.不安全的通信

许多消息传递和VoIP呼叫应用程序开始对消息进行加密，但其中大多数仅在用户之间对消息进行加密。应用程序提供商公司和第三方仍然可以阅读。这里最好的选择是端到端加密，只有具有特定密钥的用户才能解密该消息。WhatsApp是消息和通信加密的一个很好的例子，即使它也不是十分完美的。

3.安全漏洞，允许安装恶意软件

操作系统或应用程序中的一个漏洞可能会导致您的设备上被安装恶意软件。恶意软件是一种恶性的，可以嵌入到下载的文件中，并在发现特定漏洞时自行安装的流氓软件。该软件可能会损坏移动设备，操作系统或创建存储在移动设备和服务器上的信息流。

4.使用（或整合）不同的认证程序

身份验证过程是对个人信息添加安全性的好方式，但是有两个潜在的问题。首先，要使用存储在远程服务器上的信息，需要登录。您的智能手机，平板电脑或发送到服务器进行确认的桌面的登录信息需要加密。

其次，要实际登录到应用程序，您的设备需要连接到远程服务器，服务器确认或拒绝您输入的信息。因此，建立的连接必须是安全的。

通过Facebook或Gmail等其他服务进行身份验证，黑客可能会完全访问该登录信息并访问所有连接的服务。例如，如果您使用Gmail凭据登录应用程序，黑客不仅可以访问您登录的应用程序，还可以访问Gmail。

登录是一个简单的，标准的移动应用安全，但非常复杂的过程，无论是写还是测试。

5.测试应用程序的隐藏部分

漏洞无处不在。如果你编写的代码本身就是一个漏洞，而没有保护一些参数，那么你正在为黑客无偿提供用户信息。

文本框，单选按钮，下拉菜单和其他UI预编码元素的SQL短代码可能遭受注入攻击。

隐藏的POST参数可能会将不良内容发布到您的Web应用程序，例如向用户传输错误的信息。

一个隐藏的GET参数可以让不友好的攻击者收集机密的、敏感的个人或公司信息。这些只是一些隐藏的危险代码违规事件，很容易导致数据丢失和信息泄露。为了找到隐藏的软件缺陷，除了写测试用例，没有别的办法。您也可以使用一些代码扫描工具来帮助您找到未编译代码中的漏洞，如HP Fortify或Checkmarx。

构建移动应用程序时的安全要求

尽管存在风险，但您仍可以采取措施降低风险。我们建议您使用下列六个安全要求来构建您的应用程序。你的应用程序安全性可能仍然不是能够防弹的，但遵循这些安全特性将有助于避免许多安全漏洞。

1.保密

信息绝不是应用程序本身向第三者泄露的。遵循保密性要求，在敏感信息周围进行端到端加密，可以帮助防止信息泄露。

2.完整性

完整性是指受保护信息不能被未经授权的一方转移。完整性计划和像保密计划这样的基础技术可以帮助避免在代码中造成漏洞。这些方案还能够确保收到的信息是正确的和不变的。

3.认证

这是为了证明用户的身份或应用程序是值得信赖的，它可以安装到设备上。这段代码将通知系统的应用程序和信息来源的真实性。

4.授权

用户想执行某些操作，适当的授权将确保用户可以完全做到这一点，而不必要求任何信息。如果用户可以执行与其权限不同的操作时，就称为bug。如Instagram的bug例子。

5.可用性

什么时间是向请求者提供信息的最佳时机？恰恰在用户需要它的那个时刻。当授权用户需要时，需要有一种快速可靠的方式来保证资源是可用的。

6.不可否认

最后的安全要求可能是最棘手的实施。不可否认性要求确保发送者或接收者不可以否认已经发送或接收到的东西。这个安全要求是跟踪从A到B不应该被修改的信息的踪迹。如果可以修改，那么你有安全漏洞。

结论

开发移动应用程序时，安全测试应该是重中之重 ，它和功能，设计和按时交付同样重要。对于每个应用程序都一样，无论是购物清单，在线购物还是银行应用程序。如果遵循以上特性，大多数漏洞都可以避免或限制，并且漏洞则可以通过战略性，全面的自动化和手动移动测试来发现和关闭。

最后，划重点！！！

Testin云测送大家一波超级福利！

①价值5000元的Testin专属测试大礼包（包含120分钟自动化测试、120分钟远程真机调试、每日免费使用1次标准兼容测试、每日免费使用1次安全测试）；

②原51testing产品总监陈霁老师16年测试工作总结精华 -《软件测试入门必读》课程。

如何获取福利？

登陆或者注册您的Testin账号进行企业认证，完成认证自动获得福利大礼包，认证请戳——>

（编辑：通辽站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!