XX平台移动端安全测试报告模板.docx

PAGE PAGE II XXX公司 XXX移动端APP 安全测试报告 目 录 TOC \o "1-3" \h \z \u 1 引言 1 1.1 测试目的 1 1.2 读者对象 1 1.3 参考标准 1 2 测试概述 2 2.1 测试对象 2 2.2 测试安排 2 2.3 测试流程 3 2.4 测试方法 3 2.5 漏洞等级划分 4 3 测试内容 5 3.1 应用安全性与潜在威胁 5 3.2 源码安全性与潜在威胁 5 3.3 数据安全性与潜在威胁 6 3.4 WEB接口安全性与潜在威胁 6 4 安全风险分析 8 4.1 Android乘客端APP安全风险项 8 4.1.1 订单查询存在严重越权 8 4.1.2 Activity组件可被劫持 8 4.2 IOS司机端APP安全问题分析 9 4.2.1 本地敏感信息明文存储 9 4.2.2 敏感信息明文传送 9 4.3 已加固风险项 10 4.3.1 SSLv3 - Poodle 攻击漏洞 10 4.4 测试通过项 10 4.4.1 会话定置测试 10 4.4.2 敏感接口遍历测试 11 4.4.3 其他测试 11 4.5 测试不适用项 12 5 测试结论 13 6 加固建议 14  xxx移动app安全检测报告 第 PAGE 引言 测试目的 本次针对移动APP应用软件安全检测与处置工作的主要目的是提高移动端APP软件的安全性，降低攻击者攻击移动APP应用软件产生的风险，找出移动APP应用软件是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小，从而为制定相应的应对措施与解决方案提供实际的依据。通过分析移动APP应用软件在安全方面存在的弱点和风险，为安全加固和改进建议提供依据。编写本测试报告的目的是为研发工程师关于对XXX移动端APP的系统整体功能测试提供指导。 读者对象 本测试报告的读者对象为软件开发项目管理者、软件工程师、测试工程师、安全工程师。 参考标准 《信息安全技术-信息系统安全等级保护级别要求-移动互联网要求标准》 《信息安全技术移动智能终端个人信息保护技术要求》 《中国金融移动支付客户端技术规范》 《中国金融移动支付应用安全规范》 《网上银行信息系统通用安全规范》 《移动互联网应用软件安全评估大纲》 《移动互联网恶意程序描述格式》 《电子银行安全评估指引》 《电子银行业务管理办法》 《OWASP测试指南》  测试概述 测试对象 程序名称 XXX司机端 XXX乘客端 功能 软件版本 上线时间 文件包名 文件哈希 运营者 服务器 所在机房 测试安排 名称 内容 测试时间 测试人员 测试环境 测试设备 测试软件 AppUse、burpsuite、charles、wireshark、baksmali/smali、apktool、virtuous ten studio、dex2jar、Java Decompiler、apk-extractor、keytool/jarsigner、signapk、AndroidResEdit、manitree、DroidBox等 测试流程 本次测试的流程主要包括以下阶段： 确定范围：客户根据自己的需要，确定本次测试的范围； 准备阶段：对测试范围中的手机应用软件进行收集整理和资产调研，获取测试账号和密码； 软件安全评估测试阶段：在此阶段，对手机应用软件进行数据安全性评估、程序安全性评估、程序健壮性评估； 软件安全性检测阶段：在此阶段，对手机应用软件WEB调用接口进行安全性检测； 漏洞修复阶段。在此阶段，对手机应用软件之前发现的安全问题进行问题定级、漏洞修复方案确认、安全漏洞复测。 测试方法 本次测试主要采用的测试方法有： 静态分析 静态分析主要是利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译，并对反编译后的java文件、xml文件等文件进行静态扫描分析，通过关键词有哪些信誉好的足球投注网站等静态方式将具有安全隐患的代码进行摘录并存入到检测平台后台，为后续的安全检测报告提供数据依据。 动态分析 动态分析技术是对应用软件安装、运行过程的行为监测和分析。检测的方式为虚拟机方式。沙箱模型方式通过建立安全的沙箱模型，使得移动应用的执行环境是封闭的一个沙箱，不受到沙箱外环境的干扰，结合传统PC机上的沙箱模型原理的分析和研究，得到合适于手机上的沙箱模型。虚拟机方式通过建立与Android手机终端软件运行环境几乎一样的虚拟执行环境，手机应用软件在其中独立运行，从外界观察应用程序的执行过程和动态，进而记录应用程序可能表现出来的恶