Android app安全性能测试1.安装包测试(1)能否反编译代码(源代码泄露问题):开发:对代码进行混淆;测试:使用反编译工具进行查看源代码,是否进行代码混淆,是否包括了显而易见的敏感信息(2)安装包是否签名(ios重app有正式的发布证书签名,不必考虑):需要在发布前验证一下签名使用的key是否正确,以防被恶意第三方应用覆盖安装(3)完整性校验:检查文件的md5值(4)权限设置检查(增加新权限需要进行评估):android检查manifest文件读取应用所需的全部权限2.敏感信息测试(1)数据库是否存储敏感信息:需要对各个数据库字段含义进行了解,并评估其中可能的安全问题;在跑完一个包含数据库操作的测试用例,我们可直接查看数据库里的数据,观察是否有敏感信息需要在用户进行注销操作后删除,若师是cookie类数据,建议设置合理的过期时间。(2)日志中是否存在敏感信息:若发布版本中包含日志应用,在测试需要关注日志中是否包含敏感信息。(3)配置文件是否存在敏感信息(与日志相似)3.软键盘劫持:金融a
