一.安装包的测试
1.代码加固和混淆
1.1能否反编译代码-dex2jar和jd_gui工具
1.2安全包是否有签名
1.3完整性校验 -md5
1.4权限设置的检查
2.敏感信息的测试
2.1数据库是否存在敏感信息
2.2缓存
2.3cookie
2.4日志中是否包含敏感信息
2.5配置文件是否包含敏感信息
3.软键盘的劫持
银行卡和支付密码,用自己的安全键盘。
4.账户安全
4.1密码明文存储,密码smscode
4.2密码传输是否加密 对称加密和非对称加密 例如u盾
4.3账户锁定策略
4.4同时会话
4.5注销机制
5.数据通信的安全
5.1关键信息是否加密
5.2关键链接是不是用了安全通信
5.3是否对数字证书合法性验证 https 证书校验 签名校验
5.4是否校验数据合法性 证书校验 签名校验 fiddler-autoresponder
6.组件安全性测试 activity,contenprovider,broadcast、drozer