《移动应用检测服务.docx》由会员分享,可在线阅读,更多相关《移动应用检测服务.docx(3页珍藏版)》请在第壹文秘上搜索。
1、移动应用检测服务1服务介绍根据应用系统的实际情况,提供对APP应用系统进行安全检测,安全检测服务项,包括但不限于以下项:代码保护 拒绝服务 组件安全 登录控制1.1 移动APP客户端及业务逻辑检测指标1.敏感行为检测短彩信行为检测上网行为检测系统破坏行为检测安装卸载行为检测隐私窃取行为检测收藏夹篡改检测动态加载行为检测2.配置文件检测对APP客户端配置文件进行检测3.权限检测敏感权限检测冗余权限检测4.敏感词检测代码检测资源检测配置检测5.动态检测上网行为检测本地配置文件读写检测数据文件读写检测SD卡文件读写检测短信行为参数解析彩信行为加解密算法检测反射类、方法调用检测6.代码保护检测java
2、层代码是否有保护、是否做过混淆、是有调试符号7.Java层调试检测AndroidManifest中的调试标记8.组件安全检测AndroidManifest中的组件是否导出9.敏感函数调用检测APP中是否包含敏感函数:短信操作、联系人操作等等10.调试日志函数检测App中是否有调试日志函数调用11.App防篡改检查应用的代码、资源文件、配置文件等被篡改后,如添加广告后,是否可以重新打包并正常运行12.完整性校验检查应用是否具有完整性校验的功能13.卸载清除检查应用是否能够被完全卸载清除14.版本升级检查应用是否具备在线新版本检查和升级功能15.安装包中敏感信息加密检查应用安装文件是否包含明文证书
3、、密钥、网络配置、业务脚本代码16.第三方SDK安全检查应用是否使用了存在已知安全风险的第三方SDK17.敏感信息显示检查在输入密码时,应用界面是否始终使用掩码显示,应用显示账户号码、证件号时是否部分使用掩码显示18.敏感数据截获检查在用户输入密码、证件号或卡号过程中,信息是否可以被SCanmem工具明文获取19.密码专用键盘保护检查用户输入密码时是否使用了键位随机的非系统键盘20.关键组件访问保护检查应用是否使用自定义权限保护SerViCe、ProviderReCeiVer组件的访问21.未授权程序组件访问检查应用中的用户密码、证件号或手机号是否仅供授权的用户或应用组件访问22.敏感数据存储
4、检查应用是否以明文形式存储了敏感数据23.敏感数据残留检查应用运行过程中,内存是否残留明文的密码、证件号或手机号24.远程数据传输保密性检查应用远程数据传输时,是否采取加密措施25.交易通信完整性检查应用是否采取了有效措施以确保交易通信的完整性26.日志信息检查应用是否有日志信息或调试信息输出,是否包含密码、证件号、手机号或业务流程信息明文输出27.界面切换后敏感信息需清空检查应用界面切换后,用户输入的用户名、密码、证件号、手机号、卡号或金额信息是否被清空28.通讯协议检测检查应用和服务器间的通信是否使用了安全的通讯协议29.双向认证检查客户端与服务器端是否使用了双向认证机制30.重放攻击检测客户端软件与服务器通信数据被第三方嗅探后,是否可以进行重放攻击1.2 报告编制根据检测结果,编写检测报告,报告内容包含:高、中、低风险的数量、各风险点的攻击途径、风险影响分析、漏洞截图、整改加固方法等。1.3 实施说明检测前需提供授权,购买服务前需联系客服确认实施对象的信息。
