重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
目前我经常用的漏洞检测工具主要就是爱内测,因为爱内测会根据应用特性,对程序机密性会采取不同程度不同方式的检测,检测项目包括代码是否混淆,DEX、so库文件是否保护,程序签名、权限管理是否完整等;组件安全检测主要针对Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏洞,并给出针对性建议;数据安全会全面检测APP存在的数据泄漏漏洞和输出层、协议层等所有涉及数据安全的漏洞,确保APP里那些可能导致帐号泄露的漏洞被全部检测出。
创新互联专注于牟平网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供牟平营销型网站建设,牟平网站制作、牟平网页设计、牟平网站官网定制、小程序制作服务,打造牟平网络公司原创品牌,更为您提供牟平网站排名全网营销落地服务。
一、前言
在SDK最近的项目中上线的包被第三方杀毒软件报出有病毒的问题,后来经过查验发现是SDK悬浮窗动画的逻辑被检验出有病毒,最后进行了修改。事情虽然解决了,但是引起该问题的一个原因是在测试中没有安全测试,而安全测试的标准,方法都没有。因此今天将之前工作中参与过的安全测试以及从网上查阅到有关安全测试的资料进行整理。有不足的之处,尽情谅解。
二、软件权限
1)扣费风险:浏览网页,下载,等情况下是否会扣费,一般在游戏APP,和社交APP等需要考虑这些。
2)隐私泄露风险。例如在我们安装APP应用时通常会看到"xx要读取手机通讯录"等提示,这些提示可以提示用户拒绝接受,这些是APP测试中的测试点。
3)校验input输入。对于APP有输入框的要对输入的信息进行校验,比如密码不能显示明文。在测试中红人馆注册时需要对input进行测试。
4)限制/允许使用手机功能接人互联网,收发信息,启动应用程序,手机拍照或者录音,读写用户数据。这个在通信行业用的比较多,比如展讯,高通等芯片厂商,他们在出厂芯片时要对手机各个功能进行测试。
三、代码安全性
之所以单独拿出来说,是因为在SDK测试过程中SDK代码被第三方工具检测出游病毒代码,这样一来就会影响输入法的使用。因此在后续测试中要尝试加入安全性测试。
四、安装与卸载安全性
1)应用程序应能正确安装到设备驱动程序上
2)能够在安装设备驱动程序上找到应用程序的相应图标。在SDK测试项目中发现有些设备受权限的问题,无法下发图标创建快链。
3)是否包含数字签名信息。在SDK测试项目中基本上没有,但是在输入法打包和主线版本上存在这样的测试。
4)安装路径应能指定
5)没有用户的允许应用程序不能预先设定自动启动
6)卸载是否安全,其安装进去的文件是否全部卸载
7)卸载用户使用过程中产生的文件是否有提示
8)其修改的配置信息是否复原
9)卸载是否影响其他软件的功能
10)卸载应该移除所有的文件
11)安装包的存放。在SDK下载安装包的测试中我们经常会看到下载下来的包后面有四个随机的字符串,这个的目的是为了防止第三方工具恶意删除安装包的问题。
在SDK测试项目中有专门针对下载安装卸载的用例,对安装的路径和下载的文件夹路径等有相关的测试,测试结果页表明,某些手机(例如华为mate1)在删除了某个下载路径文件夹之后受权限应用不会自动创建。
五、数据安全性
1)当将密码或其他的敏感数据输人到应用程序时,其不会被储存在设备中,同时密码也不会被解码
2)输人的密码将不以明文形式进行显示
3)密码,信用卡明细,或其他的敏感数据将不被储存在它们预输人的位置上
4)不同的应用程序的个人身份证或密码长度必需至少在4一8个数字长度之间
5)当应用程序处理信用卡明细,或其他的敏感数据时,不以明文形式将数据写到其它单独的文件或者临时文件中。以防止应用程序异常终止而又没有删除它的临时文件,文件可能遭受人侵者的袭击,然后读取这些数据信息。
6)当将敏感数据输人到应用程序时,其不会被储存在设备中
7)备份应该加密,恢复数据应考虑恢复过程的异常通讯中断等,数据恢复后再使用前应该经过校验
8)应用程序应考虑系统或者虚拟机器产生的用户提示信息或安全警告
9)应用程序不能忽略系统或者虚拟机器产生的用户提示信息或安全警告,更不能在安全警告显示前,利用显示误导信息欺骗用户,应用程序不应该模拟进行安全警告误导用户
10)在数据删除之前,应用程序应当通知用户或者应用程序提供一个"取消"命令的操作
11)"取消"命令操作能够按照设计要求实现其功能
12)应用程序应当能够处理当不允许应用软件连接到个人信息管理的情况
13)当进行读或写用户信息操作时, 应用程序将会向用户发送一个操作错误的提示信息
14)在没有用户明确许可的前提下不损坏删除个人信息管理应用程序中的任何内容
15)应用程序读和写数据正确。
16)应用程序应当有异常保护。
17)如果数据库中重要的数据正要被重写,应及时告知用户
18)能合理地处理出现的错误
19)意外情况下应提示用户
20)HTTP、HTTPS覆盖测试。在测试中我们经常会遇到与请求的加密解密测试,以确保产品的安全性
功能测试:这个不用过多解释,就是点点点,保证页面的功能实现,没有业务逻辑方面问题。
UI测试:主要关注页面颜色是否舒服,布局是否合理,有无错别字等等。
兼容性测试:就是测试你的app程序在不同手机品牌上面是否能正常运行,页面布局如何,是否乱序。需要覆盖到目前市场上面主流的手机类型,最好使用真机测试,不推荐模拟器。还需要考虑不同操作系统版本对于程序的影响。
场景测试:使用App时要考虑到各种不同的使用场景,比如正在使用app,来电话或者短信了程序如何应对?正在听音乐,app也有个播放功能和喇叭发生资源抢夺怎么办?以及不同应用程序之间的切换和前后台切换等等。
性能测试:考虑内存,耗电量,安装包大小,流量耗用多少以及响应事件的快慢等等......
弱网测试:不同类型2g,3g,4g,5g的移动流量或者是wifi模式下程序的运行情况。网络速度极差或者断网的情况下,程序运行状况等等。
安装/卸载/更新:需要考虑卸载时是否要保留用户数据?更新的话是提示更新还是强制更新?更新过程中手机没电关机或者用户关闭退出等等。
权限测试:主要是用户关闭了某项权限时,程序是否还能正常使用;是否可以访问通讯录,相册,录音等;以及检测App的用户授权级别,数据泄露,非法授权访问等。
稳定性测试:避免程序出现卡顿,闪退,崩溃等现象,这个可以使用工具比如monkey自动频繁快速操作各个功能检测程序稳定性。
安全测试:应用是否保存敏感数据到本地,应用与服务器之间的数据传输是否加密。如果金融类的涉及钱的应用,重点测试,支付接口是否能被外部调用伪造等。
大概列了一下App测试需要注意的常见的测试点,仅供参考。最后说一下,app测试工具有哪些:
adb: 安卓手机的官方检测工具,用来操作安卓系统。
monkey:可以无规律的模拟用户操作,检测程序运行的稳定性。
monkey runner:可以自己写脚本模拟用户进行操作,更加的灵活。
Appium: app自动化框架,适用于python/java语言。
腾讯有个平台可以实现适配兼容、服务器压力、性能测试、弱网络、耗电量测试等等,挺全面的。WeTest腾讯质量开放平台,本人亲测过体验还不错。
下面说一下测试一个App具体包括哪些方面,以及每个方面的关键点。
测试人员常被看作bug寻找者,但你曾想过他们实际是如何开展测试的吗?你是否好奇他们究竟都做些什么,以及他们如何在一个典型的技术项目中体现价值?本文将带你经历测试人员的思维过程,探讨他们测试app时的各种考虑。本文的目的在于揭示测试人员的这一思维过程,并展示他们通常所考虑内容的广度和深度。
本文是基于我的工作经验而写的,作为一名敏捷软件开发团队的测试经理,我一心投入测试工作。在与其他app测试专家交流的过程中,我深刻了解到app测试工作的困难。在日常工作的摸索中,我将如何做好app的测试归结为如下内容。
(1) 非功能测试
app测试的一个重要方面是app的非功能需求。移动app在推出市场或进行进一步开发前,测试人员有一定的职责做该类需求的跟踪工作。
早期开发阶段要进行的第一个测试应该是实用性测试。通常是由alpha用户或同事进行的。走进一家咖啡馆或餐厅,问问里面的人他们的app使用情况。让他们看看现阶段开发的第一个版本并收集反馈,看看用户是否能很好地使用新功能,以便得出第一印象。
(2) 功能测试
每项开发的新功能都需要进行测试。app测试中功能测试是一个重要方面。测试人员应该要进行手动测试和后期的自动化测试维护。刚开始测试时,测试员必须把app当做"黑盒"一样进行手动测试,看看提供的功能是否正确并如设计的一样正常运作。除了经典软件测试,像点击按钮、提交订单看看会发生什么,测试员还必须执行更多功能的app测试。
除了整个手动测试过程,测试自动化对移动app也很重要。每个代码变化或新功能都可能影响现存功能及它们的状态。通常手动回归测试时间不够,所以测试员不得不找一个工具去进行自动化回归测试。现在市面上有很多自动化测试工具,有商业的也有开源的,面向各个不同平台,如Android,iPhone,WindowsPhone7,BlackBerry以及移动Webapp。根据开发策略和结构,品质管理测试专家需找出最适合他们环境的自动化工具。
(3) 客户端性能测试
一个App做的好不好,不仅仅只反应在功能上。被测的app在中低端机上的性能表现也很重要。比如:一个很好玩的游戏或应用,只能在高端机上流畅运行,在中低端机上卡的不行,也不会取得好的口碑。
关于App的性能测试,我们比较关注的参数有:CPU,内存,耗电量,流量,FPS。同时也需关注一下App的安装耗时和启动耗时。
目前大家可能比较困惑的一个问题,多高的CPU,内存,耗电量,流量,FPS才算是符合发布的值呢?这里可以告诉大家,可以参考精品游戏的一些数值,将自己研发的app与业内精品的app数据做对比。
(4) 适配兼容测试
市面上目前存在的移动设备五花八门,下图列出过去12个月的移动设备品牌占比情况。
App在经过功能测试后,也需对其进行适配兼容测试需要检查的项主要有以下几点:
(a) 在不同平牌的机型上的安装、拉起、点击和卸载是否正常;
(b) 在不同的操作系统上的安装、拉起、点击和卸载是否正常;
我们在实际测试中,常常会遇到下列问题:
(a) 在某个平牌某个系统上,app安装不上;
(b) 在某个平牌某个系统上,app无法拉起;
(c) 在某个平牌某个系统上,app拉起后无响应或拉起后黑屏、花屏;
(d) 在某个平牌某个系统上,app无法顺利卸载;
腾讯WeTest这个产品可以实现多款热门机型的适配兼容测试。
(5) 弱网络测试
App在使用的过程中,难免会遇到弱网络环境,例如在公车上、在地铁里。在这种情况下,常常会出现网络抖动、上行或下行超时,导致应用中出现丢包。
作为一个测试人员,我们要对app在上线前做一定场景的弱网络环境模型,并查看app在弱网络环境下是否存在某些未知的问题。下面是我们常用的弱网络环境场景:
(a) 3G弱网络信号场景模拟;
(b) 市区低速移动场景模拟;
(c) 郊区高速移动场景模拟;
(d) 请求回应超时_上行超时场景模拟;
(e) 请求回应超时_下行超时场景模拟;
(f) 网络抖动场景模拟;
这个工具也可以解决
(6) 耗电量测试
App在手机上的表现,除了功能外,app是否耗电,也是测试过程中重点要关注的一项。手机设备在满电的时候,这个App能玩多久;App每小时的耗电是多少;App在某个场景挂机10分钟耗电量是多少;这些都是我们平时在耗电量测试中比较关注的点。
(7) 协议测试
模拟客户端直接发送协议包给服务器,看看服务器是否有一定的校验,认不认客户端发过来的数据。协议测试,主要是为了处理用户发送恶意协议到服务器,骗过服务器的校验。
(8) 安全测试
App在上线前,都需要做详细的安全测试。安全测试主要为了检测应用是否容易被外界破解;是否存在被恶意代码注入的风险;上线后外挂的风险高不高等。
(9) 服务器性能测试
服务器性能测试,主要包含单机容量测试和24小时稳定性测试。单机容量测试,可以检测到单机服务器在90%的响应时间和成功率都达标的前提下,能够承载多少用户量。使用特定游戏模型压测24小时,服务无重启,内存无泄漏,并且各事务成功率达标。
这个可以在WeTest入口预约。
(10) 服务器容灾测试
服务器容灾测试,主要指某个服务进程奔溃掉后,是否具有自行恢复能力。比如游戏逻辑进程消失后,是否会自动拉起;memcached崩溃时,是否会重新启动,是否会对所有玩家有影响。这些都是app测试过程中需要考虑的因素。
(11) 中断测试
针对智能终端应用的服务等级划分方式及实时特性所提出的测试方法,如:App在前台和后台运行状态时与来电、文件下载、音乐收听等关键运用的交互情况测试等。测试电话,短信,彩信,微博或其他通知进来时app的反应。
(12) 上线后期的舆情跟踪
新的app上线后,用户对此应用的评价,存在哪些测试期间未察觉的Bug,论坛上对于该应用热门的帖子有哪些,应用商店中该应用的口碑如何等,都是app在上线后,测试人员需要关注的点。若需要测试期间未发现的Bug,需要新测试服进行确认并根据该问题的修复。
很高兴看到腾讯在研发生产资料,而不是产品,好的企业应该积累出自己的工具链,并造福生态圈!最后祝大家都能把手下的app测试工作做好!