■楊光

手機App安全性測試初探

■楊光

目前手機App測試還是以發(fā)現(xiàn)bug為主，主要測試流程就是服務(wù)器接口測試，客戶端功能性覆蓋，以及自動化配合的性能，適配，壓測等，對于App安全性測試貌似沒有系統(tǒng)全面統(tǒng)一的標準和流程，其實安全性bug也可以是bug的一種，只不過更加隱秘，難以發(fā)現(xiàn)，尤其針對于手機App。

個人理解，大部分App還是走的http或者https，所以防http抓包泄露用戶信息以及系統(tǒng)自身漏洞是必要的，畢竟像騰訊那種通過自身通信協(xié)議增加安全性的還是少數(shù)的 （抓過微信和qq的沒抓著，不知道有沒有相關(guān)工具可以抓手機tcp的包）。既然有接口測試為什么還需要單獨對客戶端進行抓包驗證安全性呢？這么說吧，接口測試其實最主要的驗證接口邏輯，可用性，邊界值，異常檢查，但并不能預先保證客戶端調(diào)用不出問題，一個針對多個App抓包都發(fā)現(xiàn)的問題可以說明：抓了好多社交性App，發(fā)現(xiàn)對于用戶資料隱私泄露還是很嚴重的，當你查看一個陌生用戶信息時，一些手機號，qq等信息頁面上應(yīng)該不顯示的，但這些信息不顯示并不代表服務(wù)器沒有下發(fā)，好多都是客戶端限制的，通過抓包，完全可以查看到陌生用戶的App。再如好多發(fā)帖，push消息的應(yīng)用，如果沒有消息有效性的驗證，抓到包之后篡改消息，服務(wù)器一點反應(yīng)都沒，這就會留有極大的隱患。

至于逆向工程這點，對于android就很好理解了，反編譯，修改或者插入自己的代碼，以達到相應(yīng)目的。真見過幾個沒有代碼混淆的app，包括我們自己的以及大名鼎鼎snapchat，記得有個游戲特搞笑，游戲主題是C#寫得，結(jié)果java的代碼混淆了，C#的代碼沒有，修改了幾個參數(shù)值，插了幾段自己的代碼，就作弊成功了。尤其好多開放平臺的游戲，通過開放平臺sdk文檔，再加上反編譯后些許信息，即使代碼混淆了，也能推測出好多東西。這些都是安全性隱患。

以上這些只是筆者最近一段時間對于手機App安全性測試的一點認識，很膚淺，安全性測試對于測試人員素質(zhì)要求還是很高的，尤其好多都是經(jīng)驗性的東西，只有通過不斷增加經(jīng)驗，才能更好的做好測試。