任何人都可以解释一下,移动应用安全测试的方法是什么?另外
寻找示例报告模板。
提前致谢。
答案 0 :(得分:0)
移动应用程序有两种类型。
根据应用程序,您正在测试。测试方法略有变化。通常,大多数人会遵循针对移动应用的OWASP指南。
答案 1 :(得分:0)
首先,必须对您设计的应用程序进行彻底的威胁建模。威胁建模将让您了解可能存在的漏洞。 示例:移动应用允许其他APP与您的应用/应用数据进行互动。在这种情况下,您应该访问过 1.其他应用程序应该如何与您进行身份验证? 2.给出的权限是什么,可以访问哪种数据? 3.其他应用程序是否应该能够使用您自己的应用程序的加密密钥? - 一定不是。
等等。因此,我坚持要对应用程序进行干净的线程建模并进行精细处理
1.应用程序交换数据的所有接口。
2.磁盘存储,什么样的事务可以访问存储以及它的目的是什么? - 授权
3.加密商店中的所有关键数据,如果应用程序经常交换更多数据,请使用SALT。
4.代码执行路径。没有代码在应用程序中没有目的。
5.传入数据卫生。
等...