目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可以是bug的一种,只不过更加隐秘,难以发现,尤其针对于手机App. 以webview为主体的app,站在入侵或者攻击的角度来讲,安全隐患在于http抓包,逆向工程.谈这之前先讲讲webview相关的app,前一段时间有个曝工资的软件很火,但有查询次数的限制,抓包研究了一下,发现其主要还是webvie…

目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可以是bug的一种,只不过更加隐秘,难以发现,尤其针对于手机App.近期时间比较充裕,研究了一下安全性相关的东西,并对于我们自身的产品测试了一下(更主要的目的是游戏作弊刷分),发现了不少问题,总结一下. 我的理解,包括以webview为主体的app,站在入侵或者攻击的角度来讲,安全隐患在于http抓包…

1. APP测试基本流程 1.1流程图 1.2测试周期 测试周期可按项目的开发周期来确定测试时间,一般测试时间为两三周(即15个工作日),根据项目情况以及版本质量可适当缩短或延长测试时间.正式测试前先向主管确认项目排期. 1.3测试资源 测试任务开始前,检查各项测试资源. --产品功能需求文档: --产品原型图: --产品效果图: --行为统计分析定义文档: --测试设备(ios3.1.3-ios5.0.1:Android1.6-Android4.0:Winphone7.1及以上:Symbian…

一.概述 1.1 什么是H5 H5 即 HTML5,是最新的 Web 端开发语言版本,现如今,大多数手机 APP 页面会用 H5 实现,包括 PC Web 站点也会用它开发实现.所以 Web 的通用测试点和方法基本都可以适用于它.H5其实就是:移动端Web页面. 在PC或者手机浏览器都可以直接访问H5页面 1.2 怎么识别是H5? 基本上只要对那个view长按,然后看是不是有反应,比如手机震动(Android).或者出现文字选择粘贴(Android/iOS),那么就是WebView! 横屏竖屏相…

移动APP安全测试   老鹰a0人评论7103人阅读2018-08-06 16:22:07   1        移动APP安全风险分析 1.1     安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁.数据传输端威胁和服务端的威胁. 1.2     面临的主要风险 1.3     Android测试思维导图 1.4     反编译工具 有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来…

罗列一下自己常用的android手机安全性测试攻击手段: 1. fiddler和tcpdump+wireshark抓包分析,模拟修改http请求参数,检验漏洞 2. 修改AndroidManifest.xml文件中debuggable属性,打开logcat输出,查看是否有敏感信息输出 3. 将apk包转换成jar包,反编译出源码,查看其是否混淆,或者能否通过代码看出主要产品逻辑 4. 反编译apk,结合反编译出的源码修改smali文件,输出敏感信息,或者更改代码逻辑 5. 对于一些jni调用so…

1.概述 APP安全性一般可以从以下几方面进行考量: 以及其他一些杂项(或者通用并不局限于APP的安全项): 本文讨论反编译问题. 2.APK反编译 安卓开发的APP,如果不做任何处理是很容易被反编译的.也就是说,一个APP的源代码可以轻易的被泄露. 对于商业软件而言,这当然是不可接受的.而作为测试团队,应该确保自己的产品能够妥善抵御反编译. 测试可以可以自己尝试反编译来进行验证,这是一种渗透性测试思维. 2.1 反编译工具 apktool 作用:用于提取APK中的资源文件,比如图片文件和布局文…

在做移动应用(APP,小程序等)测试时,需要关注应用安全性. ZAP是可以用来进行手机移动应用渗透性测试扫描的. 正因为ZAP是采用“中间代理”的形式,截取并扫描所有客户端与服务器的交互请求,作为客户端之一种的移动端应用当然也在其范围之内. 更多ZAP代理原理和设置请翻阅安全性测试:OWASP ZAP 2.8 使用指南(三):ZAP代理设置 需求 安装于PC端的OWASP ZAP客户端 手机模拟器/真机 安卓设置 我们将移动APP的形式分为两种情况: 被测APP不使用HTTP协议,安卓机器已被r…

现在APP测试已经是测试行业的一个重要分支,对APP测试技能和经验的要求也越来越高,看到一篇关于APP安全测试的总结,分享给需要的朋友.1.软件权限1)扣费风险:包括发送短信.拨打电话.连接网络等2)隐私泄露风险:包括访问手机信息.访问联系人信息等3)对App的输入有效性校验.认证.授权.敏感数据存储.数据加密等方面进行检测4)限制/允许使用手机功能接人互联网5)限制/允许使用手机发送接受信息功能6)限制/允许应用程序来注册自动启动应用程序7)限制或使用本地连接8)限制/允许使用手机拍照或录音9…

在开始测试APP之前,应该考虑什么问题?或者如何选择设备?多少部手机测试兼容性最佳? 兼容性测试手机数量:主测手机 1 ,2(根据人员),辅助测试手机:用于兼容性测试.(50-60台最佳,至少5-20台)主测:用户量大的手机品牌,版本,尺寸,屏幕,分辨率,Android版本,辅测:一定要尽可能加入支持的最低版本和当前市场最高版本主测手机:1-2手机,执行全部的测试用例,进行性能,自动化等测试---开发解决问题依赖于这个手机.辅测手机:执行部分用例的手机  50-60,20-30数量,发生的问题也…