手游安全性測試

1、嚕嚕2015-06-23大綱1 背景2 傳統(tǒng)移動(dòng)客戶端測試3 移動(dòng)游戲客戶端測試4 安全培訓(xùn)背景安全需求1.玩家破壞能力提高2.項(xiàng)目質(zhì)量穩(wěn)定現(xiàn)狀1.移動(dòng)應(yīng)用只是包了一層外殼的web、pc應(yīng)用2.大部分從客戶端發(fā)現(xiàn)的嚴(yán)重問題都可以在服務(wù)端解決傳統(tǒng)客戶端測試框架客戶端安全源代碼安全數(shù)據(jù)存儲安全數(shù)據(jù)傳輸安全敏感信息安全異常處理增強(qiáng)安全業(yè)務(wù)安全合規(guī)安全重要函數(shù)、邏輯、加密算法 【是否開啟PIE Flag】/data/data/*、sdcard、【var/mobile/Applications/-GUID-/*】傳輸加密、偽造、服務(wù)端驗(yàn)證硬編碼、日志、內(nèi)存、調(diào)式信息、組件權(quán)限、進(jìn)程保護(hù)、內(nèi)存修改、鍵盤劫

2、持、第三方SDK【URLschema、內(nèi)購破解、Binary patch、Runtime attack】支付、聊天、交友、游戲行業(yè)合規(guī)、安全策略（密碼、登陸、會話）閹割版apk報(bào)告安裝包測試安裝包結(jié)構(gòu)檢查代碼混淆、硬編碼信息能否反編譯是否進(jìn)行簽名數(shù)據(jù)傳輸測試關(guān)鍵數(shù)據(jù)是否加密檢查加密是否可逆、篡改客戶端對服務(wù)端驗(yàn)證數(shù)據(jù)驗(yàn)證測試程序是否對數(shù)據(jù)合法性校驗(yàn)數(shù)據(jù)存儲測試是否保存手機(jī)號、密碼等敏感信息檢查文件、內(nèi)存、日志敏感信息日志中是否存在敏感信息數(shù)據(jù)能否被別的應(yīng)用訪問安全增強(qiáng)測試手機(jī)驗(yàn)證碼短信接口測試檢查是否遵循業(yè)務(wù)邏輯意見反饋接口測試靜態(tài)密碼測試進(jìn)程保護(hù)測試安全策略測試密碼策略測試登陸次數(shù)限制界面切

3、換清空表單會話超時(shí)重登Android APP測試工具安裝包測試安裝包結(jié)構(gòu)Dex2jar、jd-gui、apktool、baksmali、keytool能否反編譯是否進(jìn)行簽名數(shù)據(jù)傳輸測試關(guān)鍵數(shù)據(jù)是否加密Tcpdump、”Hook”客戶端對服務(wù)端驗(yàn)證數(shù)據(jù)驗(yàn)證測試程序是否對數(shù)據(jù)合法性校驗(yàn)數(shù)據(jù)存儲測試是否保存手機(jī)號、密碼等敏感信息Adb logcat、SQLite、FileExplore日志中是否存在敏感信息數(shù)據(jù)能否被別的應(yīng)用訪問安全增強(qiáng)測試手機(jī)驗(yàn)證碼短信接口測試IDA、輸入法劫持.apk、Web滲透測試、Drozer意見反饋接口測試靜態(tài)密碼測試進(jìn)程保護(hù)測試安全策略測試密碼策略測試登陸次數(shù)限制界面切換清空表單會話超時(shí)重登移動(dòng)游戲測試客戶端安全源代碼安全數(shù)據(jù)存儲安全數(shù)據(jù)傳輸安全敏感信息安全異常處理增強(qiáng)安全業(yè)務(wù)安全賬號角色關(guān)鍵詞、非法名稱（編碼）創(chuàng)建策略、惡意刪改游戲通訊是否加密加密策略（KEY周期、存儲、傳輸）聊天系統(tǒng)內(nèi)存測試內(nèi)存保護(hù)、加密、