203移動(dòng)APP安全檢測(cè)報(bào)告模板

移動(dòng)APP安全檢測(cè)報(bào)告2023年7月PAGEPAGE2 報(bào)告摘要 xxxxAPPAndroid安全、數(shù)據(jù)安全、通信安全、業(yè)務(wù)安全、服務(wù)器端安全等，共27個(gè)安全檢測(cè)用例。經(jīng)檢測(cè)發(fā)現(xiàn)：高風(fēng)險(xiǎn)問(wèn)題7個(gè)，中風(fēng)險(xiǎn)問(wèn)題13個(gè)，低風(fēng)險(xiǎn)問(wèn)題6個(gè)，其中1個(gè)未測(cè)試項(xiàng)。如下圖。風(fēng)險(xiǎn)等級(jí)數(shù)量高安全風(fēng)險(xiǎn)問(wèn)題7中安全風(fēng)險(xiǎn)問(wèn)題13低安全風(fēng)險(xiǎn)問(wèn)題6xxxxxxxxAndroid端安全檢測(cè)報(bào)告PAGEPAGE3 “xxxx”AndroidAPP安全檢測(cè)結(jié)果匯總 測(cè)試用例用例名稱測(cè)試項(xiàng)測(cè)試結(jié)果風(fēng)險(xiǎn)等級(jí)4.1環(huán)境安全檢測(cè)系統(tǒng)root檢測(cè)被測(cè)APP沒(méi)有進(jìn)行Android終端的root環(huán)境檢測(cè)。中網(wǎng)絡(luò)代理安全檢測(cè)被測(cè)APP沒(méi)有防網(wǎng)絡(luò)代理操作。中4.2應(yīng)用安全檢測(cè)安裝包逆向分析被測(cè)APP能被實(shí)現(xiàn)反編譯，代碼沒(méi)有進(jìn)行混淆。在代碼中發(fā)現(xiàn)大量的URL信息，并且在代碼中發(fā)現(xiàn)有支付相關(guān)的密鑰和郵箱信息。高重打包檢測(cè)APPAPP可安裝可運(yùn)行。高組件安全檢測(cè)經(jīng)檢測(cè)發(fā)現(xiàn)該APP72個(gè)Activity，3BroadcastReceiver,2service可導(dǎo)出。中軟件運(yùn)行日志檢測(cè)被測(cè)APPAPP含有用戶名、收貨人名稱、手機(jī)號(hào)、地址等敏感信息輸出。高4.3用戶操作安全檢測(cè)弱口令檢測(cè)被測(cè)APP注冊(cè)界面可輸入純六位的弱口令密碼注冊(cè)。被測(cè)APP沒(méi)有嚴(yán)格的密碼校驗(yàn)機(jī)制。高密碼找回安全檢測(cè)經(jīng)檢測(cè)發(fā)現(xiàn)被測(cè)APP找回密碼過(guò)程中不存在任意密碼重置風(fēng)險(xiǎn)。低登錄限制檢測(cè)經(jīng)檢測(cè)發(fā)現(xiàn)被測(cè)APP沒(méi)有錯(cuò)誤密碼登錄限制機(jī)制，攻擊者可對(duì)系統(tǒng)存在的賬戶進(jìn)行暴力破解攻擊。高密碼保護(hù)機(jī)制檢測(cè)經(jīng)檢測(cè)發(fā)現(xiàn)被測(cè)APP登錄頁(yè)面切換到后臺(tái)再切換回到登錄頁(yè)面時(shí)，密碼輸入框中的內(nèi)容沒(méi)有及時(shí)清空。中驗(yàn)證碼安全檢測(cè)被測(cè)APP的圖形驗(yàn)證碼是由客戶端生成，在注冊(cè)操作中，未經(jīng)過(guò)服務(wù)端驗(yàn)證，存在驗(yàn)證繞過(guò)風(fēng)險(xiǎn)。中4.4數(shù)據(jù)安全檢測(cè)鍵盤(pán)劫持檢測(cè)在被測(cè)APP界面上可以捕獲到點(diǎn)擊屏幕的坐標(biāo)事件。中防屏幕錄制檢測(cè)被測(cè)APP在用戶密碼輸入頁(yè)面沒(méi)有做防屏幕截屏操作，被測(cè)APP存在屏幕錄制風(fēng)險(xiǎn)。中信息顯示安全被測(cè)APP用戶個(gè)人資料信息字符未經(jīng)過(guò)隱蔽處理。中本地存儲(chǔ)安全檢測(cè)發(fā)現(xiàn)本地存儲(chǔ)目錄下的數(shù)據(jù)庫(kù)文件中信息進(jìn)行了加密處理。中本地文件權(quán)限檢測(cè)發(fā)現(xiàn)本地存儲(chǔ)有明文的用戶的用戶名、手機(jī)號(hào)碼和用戶Id等信息。低數(shù)據(jù)清除檢測(cè)APPAPP低4.5通信安全檢測(cè)傳輸協(xié)議分析APPHTTP協(xié)議進(jìn)行網(wǎng)絡(luò)傳輸數(shù)據(jù)。且傳輸數(shù)據(jù)為明文傳輸。高實(shí)體身份認(rèn)證APPHTTP協(xié)議，有使用安全協(xié)議進(jìn)行認(rèn)證。中重放攻擊檢測(cè)被測(cè)APP不存在短信模塊，測(cè)試條件不足。N/A會(huì)話超時(shí)檢測(cè)經(jīng)檢測(cè)發(fā)現(xiàn)被測(cè)APP沒(méi)有嚴(yán)格的會(huì)話超時(shí)檢測(cè)驗(yàn)證機(jī)制。中斷網(wǎng)會(huì)話檢測(cè)經(jīng)檢測(cè)發(fā)現(xiàn)被測(cè)APP在斷網(wǎng)時(shí)沒(méi)有相關(guān)提示。中4.6業(yè)務(wù)安全檢測(cè)越權(quán)訪問(wèn)檢測(cè)被測(cè)APP在明顯的越權(quán)訪問(wèn)風(fēng)險(xiǎn)。攻擊者可通過(guò)修改數(shù)據(jù)包中的UserId字段非法獲取他人的收貨地址信息。高信息提示檢測(cè)被測(cè)APP輸入賬戶信息后進(jìn)入主界面再切換到后臺(tái)，發(fā)現(xiàn)被測(cè)APP沒(méi)有相關(guān)提示。中數(shù)據(jù)有效性檢測(cè)被測(cè)APP有相應(yīng)的數(shù)據(jù)有效性校驗(yàn)。低4.7服務(wù)器端安全檢測(cè)漏洞掃描檢測(cè)對(duì)服務(wù)器端IP（115.xxx.xxx.xxx）使用工具進(jìn)行漏洞掃描，未發(fā)現(xiàn)有高危漏洞。低敏感信息泄露檢測(cè)查看從服務(wù)器端響應(yīng)的數(shù)據(jù)未發(fā)現(xiàn)有相關(guān)敏感信息泄露。低目 錄報(bào)告摘要 2“XXXX”ANDROIDAPP安全檢測(cè)結(jié)果匯總 3項(xiàng)目概述 7項(xiàng)目背景 7參考標(biāo)準(zhǔn)和規(guī)范 7測(cè)試目標(biāo)和內(nèi)容 8測(cè)試目標(biāo) 8測(cè)試內(nèi)容 8測(cè)試環(huán)境 9網(wǎng)絡(luò)環(huán)境 9軟硬件環(huán)境 9測(cè)試工具平臺(tái) 9測(cè)試對(duì)象 9檢測(cè)過(guò)程 11運(yùn)行環(huán)境安全檢測(cè) 11系統(tǒng)root檢測(cè) 11網(wǎng)絡(luò)代理安全檢測(cè) 12軟件自身安全檢測(cè) 13安裝包逆向分析 13重打包檢測(cè) 13組件安全檢測(cè) 14軟件運(yùn)行日志檢測(cè) 14用戶操作安全檢測(cè) 14弱口令檢測(cè) 14密碼找回安全檢測(cè) 14登錄限制檢測(cè) 14密碼保護(hù)機(jī)制檢測(cè) 14驗(yàn)證碼安全檢測(cè) 14數(shù)據(jù)安全檢測(cè) 15鍵盤(pán)劫持檢測(cè) 15防屏幕錄制檢測(cè) 15信息顯示安全檢測(cè) 15本地存儲(chǔ)安全檢測(cè) 15本地文件權(quán)限檢測(cè) 15數(shù)據(jù)清除檢測(cè) 15通信安全檢測(cè) 15傳輸協(xié)議分析 15實(shí)體身份認(rèn)證 15重放攻擊檢測(cè) 16會(huì)話超時(shí)檢測(cè) 16斷網(wǎng)會(huì)話檢測(cè) 16業(yè)務(wù)安全檢測(cè) 16越權(quán)訪問(wèn)檢測(cè) 16信息提示檢測(cè) 16數(shù)據(jù)有效性檢測(cè) 16服務(wù)器端安全檢測(cè) 16漏洞掃描檢測(cè) 16敏感信息泄露檢測(cè) 165 附件 175.1 安全風(fēng)險(xiǎn)等級(jí)評(píng)定標(biāo)準(zhǔn) 17項(xiàng)目概述 項(xiàng)目背景AndroidAndroidAndroid評(píng)估手機(jī)軟件安全的現(xiàn)狀，為軟件的安全改進(jìn)提供建議，以提高手機(jī)相關(guān)軟件的安全性。參考標(biāo)準(zhǔn)和規(guī)范 GB/T18336-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則 GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求 GB/T22239-2008 ISO/IEC27001:2005信息技術(shù)信息安全管理體系要求測(cè)試目標(biāo)和內(nèi)容 測(cè)試目標(biāo)可靠的質(zhì)量狀態(tài)。測(cè)試內(nèi)容xxxxxxxx_Androidxxxx_AndroidPAGEPAGE10測(cè)試環(huán)境 網(wǎng)絡(luò)環(huán)境測(cè)試過(guò)程在真實(shí)網(wǎng)絡(luò)環(huán)境下進(jìn)行，測(cè)試使用到的手機(jī)和PC機(jī)均通過(guò)局域網(wǎng)連接到Internet。軟硬件環(huán)境Android手機(jī)4臺(tái)硬件環(huán)境設(shè)備SM-T1114AS6EdgeNotenote4軟件環(huán)境操作應(yīng)用系統(tǒng)：軟件：Android4.2.2、Android5.1測(cè)試工具集PC機(jī)2臺(tái)硬件環(huán)境設(shè)備型號(hào)：CPU：聯(lián)想IntelCorei5-3210M8GBDDR3500GB軟件環(huán)境操作系統(tǒng)：應(yīng)用軟件：Win8.1虛擬機(jī)VMware，java環(huán)境，測(cè)試工具集測(cè)試工具平臺(tái)序號(hào)工具名稱備注1.移動(dòng)應(yīng)用安全檢測(cè)平臺(tái)移動(dòng)APP全自動(dòng)化安全檢測(cè)2.移動(dòng)應(yīng)用風(fēng)險(xiǎn)評(píng)估系統(tǒng)結(jié)合檢測(cè)規(guī)范和測(cè)試用例開(kāi)發(fā)的平臺(tái)測(cè)試對(duì)象被測(cè)對(duì)象描述表被測(cè)APP名稱xxxxAPP獲取渠道下載地址：通過(guò)郵件獲取APK包APP基本信息xxxx_Androidxxxx_AndroidPAGEPAGE11檢測(cè)過(guò)程 運(yùn)行環(huán)境安全檢測(cè)root檢測(cè)用例名稱系統(tǒng)root檢測(cè)執(zhí)行時(shí)間2016.07.14測(cè)試內(nèi)容APPAndroidrootAndroid在root的情況下，系統(tǒng)安全性會(huì)大大的降低。測(cè)試過(guò)程1、將被測(cè)APP安裝到一個(gè)已被root的移動(dòng)設(shè)備上。2APPAPProotAPProot測(cè)試結(jié)果被測(cè)APP沒(méi)有進(jìn)行Android終端的root環(huán)境檢測(cè)。風(fēng)險(xiǎn)等級(jí)中整改建議在APP運(yùn)行的時(shí)候應(yīng)xxxx，以防潛在安全漏洞。網(wǎng)絡(luò)代理安全檢測(cè)用例名稱網(wǎng)絡(luò)代理安全檢測(cè)執(zhí)行時(shí)間2016.07.14測(cè)試內(nèi)容APPHTTPAPPHTTP機(jī)制，APP在網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包容易被中間人監(jiān)聽(tīng)和篡改。測(cè)試過(guò)程1、將被測(cè)設(shè)備進(jìn)行WIFI網(wǎng)絡(luò)連接，設(shè)置Android設(shè)備HTTP網(wǎng)絡(luò)代理。2APPAPP3、輸入賬號(hào)密碼進(jìn)行登錄，通過(guò)網(wǎng)絡(luò)抓包可以查看到傳輸?shù)拿魑馁~號(hào)信息。圖略測(cè)試結(jié)果被測(cè)APP沒(méi)有防網(wǎng)絡(luò)代理操作。xxxx_Androidxxxx_AndroidPAGEPAGE13風(fēng)險(xiǎn)等級(jí)中整改建議APP防網(wǎng)絡(luò)代理操作可以從以下兩個(gè)方面考慮：1、對(duì)APPxxxx。2、不對(duì)APPxxxx。軟件自身安全檢測(cè)安裝包逆向分析步驟省略重打包檢測(cè)用例名稱重打包檢測(cè)執(zhí)行時(shí)間2016.07.14測(cè)試內(nèi)容APPAPK進(jìn)行重新簽名打包然后進(jìn)行安裝。測(cè)試過(guò)程1APPAPP可以實(shí)現(xiàn)重打包。2APPAndroidAPP可安裝可運(yùn)行。圖略測(cè)試結(jié)果經(jīng)檢測(cè)發(fā)現(xiàn)被測(cè)APP可進(jìn)行重打包處理。重打包后的APP可安裝可運(yùn)行。風(fēng)險(xiǎn)等級(jí)高xxxxxxxx整改建議組件安全檢測(cè)步驟省略軟件運(yùn)行日志檢測(cè)步驟省略用戶操作安全檢測(cè)弱口令檢測(cè)步驟省略密碼找回安全檢測(cè)步驟省略登錄限制檢測(cè)步驟省略密碼保護(hù)機(jī)制檢測(cè)步驟省略驗(yàn)證碼安全檢測(cè)步驟省略xxxx_Androidxxxx_AndroidPAGEPAGE15數(shù)據(jù)安全檢測(cè)鍵盤(pán)劫持檢測(cè)步驟省略防屏幕錄制檢測(cè)步驟省略信息顯示安全檢測(cè)步驟省略本地存儲(chǔ)安全檢測(cè)步驟省略本地文件權(quán)限檢測(cè)步驟省略數(shù)據(jù)清除檢測(cè)步驟省略通信安全檢測(cè)傳輸協(xié)議分析步驟省略實(shí)體身份認(rèn)證步驟省略重放攻擊檢測(cè)步驟省略會(huì)話超時(shí)檢測(cè)步驟省略步驟省略斷網(wǎng)會(huì)話檢測(cè)步驟省略業(yè)務(wù)安全檢測(cè)越權(quán)訪問(wèn)檢測(cè)步驟省略信息提示檢測(cè)步驟省略數(shù)據(jù)有效性檢測(cè)步驟省略服務(wù)器端安全檢測(cè)漏洞掃描檢測(cè)步驟省略敏感信息泄露檢測(cè)步驟省略附件 安全風(fēng)險(xiǎn)等級(jí)評(píng)定標(biāo)準(zhǔn)序號(hào)風(fēng)險(xiǎn)等級(jí)評(píng)定標(biāo)準(zhǔn)說(shuō)明（符合以下條件之一）1低未發(fā)現(xiàn)明顯的安全問(wèn)題；未偏離相關(guān)國(guó)家行業(yè)標(biāo)準(zhǔn)規(guī)范要求；安全漏洞的利用不會(huì)對(duì)系統(tǒng)造成明顯的安全隱患（如通過(guò)安全漏洞的利用只會(huì)獲取系統(tǒng)組件的某些信息）；4）與以上相當(dāng)危害程度的其他安全漏洞。2中偏離國(guó)家行業(yè)相關(guān)標(biāo)準(zhǔn)規(guī)范要求并且該項(xiàng)偏離會(huì)造成部分信息暴露等問(wèn)題但不會(huì)直接引發(fā)嚴(yán)重問(wèn)題（如讀取后臺(tái)數(shù)據(jù)庫(kù)）；安全漏洞的利用會(huì)對(duì)系統(tǒng)造成一定的影響（如獲得通信過(guò)程中的某些非明感信息）；3）安全漏洞的利用雖會(huì)對(duì)系統(tǒng)造成嚴(yán)重影響但很不容易利用；4）與以上相當(dāng)危害程度的其他安全漏洞。3高偏離國(guó)家行業(yè)相關(guān)標(biāo)準(zhǔn)規(guī)范要并且該項(xiàng)偏離會(huì)直接引