本APP安全测试系列分为5个篇章,这五个篇章的内容可以作为APP测试的样例,在遇到APP测试工作时,可以直接依次按照教程的步骤进行测试,最后编写APP测试报告即可。
-
测试前准备
-
身份鉴别
-
数据传输与存储
-
容错与客户端保护
-
业务及Web应用安全
话不多说,直接开始第二篇,身份鉴别:
(本文以某银行APP为例进行测试)
1、客户端键盘安全测试(风险等级:高)
检查方法:打开APP登录界面,输入密码时,查看软键盘是否进行乱序处理。
检查过程:客户端采用键位随机的软键盘输入数据,无风险。
攻击方法:利用木马病毒控制service,可以通过反射获ViewManager,从而截取全部的点击事件的坐标。如果是标准键盘,通过坐标能基本计算出客户端输入的内容。
修复建议:将软键盘的进行乱序处理,并确保乱序的随机性。
2、用户输入信息屏幕截图测试(风险等级:高)
检查方法:打开APP登录界面,边输入密码边使用截屏工具截屏,看是否能截取到用户密码。
检查过程:无法截取到用户密码,无风险。
攻击方法:通过截屏可获取用户密码等敏感信息。
修复建议:在onCreate()方法中加入防截屏代码。
3、用户输入信息是否模糊化测试(风险等级:中)
检查方法:打开登录页面,使用截屏工具截屏,看是否能截取到敏感信息。
检查过程:截取登录界面,发现部分账号和全部密码都用*代替,此项测试无风险。
攻击方法:通过截屏可获取用户名、手机号等敏感信息。
修复建议:在onCreate()方法中加入防截屏代码。
4、敏感信息是否模糊化测试(风险等级:中)
检查方法:打开敏感信息页面,用截屏工具截屏,看是否能截取到敏感信息。
检查过程:查看APP敏感信息,发现银行卡账号等敏感信息已部分已用*代替,此项测试安全。
攻击方法:通过截屏可获取银行卡账号等敏感信息
修复建议:在onCreate()方法中加入防截屏代码
5、登录失败信息是否模糊化测试(风险等级:中)
检查方法:分别输入正确账号错误密码,和错误的账号密码,进行登录。通过返回信息,可枚举有效手机号码用户。
检查过程:返回信息一致,无风险。
攻击方法:根据输入错误账号和错误密码的不同提示,进行手机号试探,可以判断该手机号是否绑定银行卡。
修复建议:对错误返回信息进行统一处理。
6、登录验证码时效测试(风险等级:中)
检查方法:将收到的验证码,超过要求时间后进行登录,或对同一个验证码进行重复使用。
检查过程:显示验证码输入错误,此项测试安全。
攻击方法:如果验证码不具备时效性,黑客可以通过多次使用同一验证码访问
修复建议:设置验证码随机,确保一个验证码仅能使用一次,并限制验证码的有效时间
7、用户口令强度测试(风险等级:高)
检查方法:修改密码为aaa111,123456等弱口令密码,看是否能修改成功。
检查过程:修改密码为aaa111,显示要求密码长度为8-16位。此项测试安全。
攻击方法:如果没有口令强度要求,黑客可以进行密码爆破,若密码只是简单的三位数字,黑客最多只需要1000(001-999)次测试就可以得到正确密码,但口令强制要求8位数以上,需要数字、字母、字符组合,大大提高爆破成本。
修复建议:用户设置密码时,对密码进行弱密码匹配。(要求密码长度8位以上,需要数字、字母、字符组合。)
8、用户同时在线数测试(风险等级:中)
检查方法:使用虚拟机,或者多台设备对同一个用户账号进行登录。
检查过程:不可在两台以上设备进行登录,无风险。
攻击方法:黑客获得账号密码后,可异地登录,进行更改信息、转账等操作。
修复建议:应限制多台设备登陆同一帐号,或者对用户进行提示信息。
9、手势密码安全性测试(风险等级:中)
检查方法:设置手势密码是否要验证原密码,查看是否可以设置简单手势。
检查过程:设置手势密码,需要验证原密码,无风险。
攻击方法:可通过修改手势密码,或者直接去掉手势密码进行直接操作。
修复建议:建议客户端在取消手势密码时先验证原密码。
10、用户登陆会话时限测试(风险等级:中)
检查方法:打开APP,30分钟后看是否需要重新登陆
检查过程:10分钟后需要重新登陆,此项测试安全
攻击方法:黑客利用已登录的账号,进行非法操作。
修复建议:设置会话失效时间。
11、登录密码错误次数限制测试(风险等级:高)
检查方法:多次输入错误密码,查看对密码错误次数是否限制
检查过程:输入错误密码,提示再密码再输错6次,账号将被锁死。此项测试安全。
攻击方法:若没有对错误密码限制,攻击者可以进行密码爆破,不断进行密码测试,从而获得用户密码。
修复建议:对单个用户,单位时间错误登陆的限制。
关注公众号了解更多资讯
原文始发于微信公众号(纵横安全圈):APP安全测试系列-身份鉴别
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论