谁能解释一下,移动应用安全测试的方法是什么?此外
寻找样本报告模板。
提前致谢。
问问题
203 次
2 回答
0
移动应用程序有两种类型。
- 基于浏览器的应用程序
- 混合/本机应用程序。
根据应用程序,您正在测试。测试方法略有变化。通常,大多数人会遵循 OWASP 移动应用指南。
于 2013-03-04T06:12:38.660 回答
0
首先,必须对您设计的应用程序进行彻底的威胁建模。威胁建模将使您了解可能存在的漏洞。示例:移动应用程序让其他应用程序与您的应用程序/应用程序数据进行交互。在这种情况下,您应该访问 1. 其他应用程序必须如何与您进行身份验证?2. 授予哪些权限,可以访问哪些数据?3. 其他应用是否可以使用自己应用的加密密钥?- 一定不是。
等等....因此,我坚持要对应用程序进行干净的线程建模并细化 1. 应用程序通过其交换数据的所有接口。2. 磁盘存储,什么样的事务可以访问存储,它的目的是什么?- 授权
3. 加密商店中的所有关键数据,如果应用程序经常交换更多数据,请使用 SALT。4.代码执行路径。应用程序中没有没有目的的代码。5. 传入数据卫生。
ETC...
于 2017-07-13T13:11:13.697 回答