為完整學習App滲透知識，特地手抄一份app滲透checklist，在后續(xù)的學習過程中，會根據(jù)學習內(nèi)容不斷完善這篇文章！

大項功能 | 組件測試項

業(yè)務安全	用戶登錄	檢測用戶登錄過程中是否需要輸入用戶名和密碼
		檢測是否有密碼嘗試次數(shù)限制，限制策略是否安全
		檢測是否存在密碼或賬戶登錄錯誤提示混淆的問題
		是否存在記住用戶名或密碼
		是否有錯誤信息提示
		是否提示用戶名錯誤
		是否提示用戶名或密碼錯誤
		是否提示密碼錯誤
		是否有驗證碼確認用戶信息
		是否有支付功能
		支付密碼和賬戶是否使用同一鍵盤進行輸入
		支付過程是否可以截圖
		是否含有敏感信息的輸入
		對于銘感信息是否完整的顯示出來
		程序進入后臺是否會有提示
	密碼管理	檢測密碼輸入是否使用安全鍵盤
		檢測密碼是否有強度要求
		檢測密碼是否本地存儲
		檢測密碼是否加固傳輸
		測試登錄免密、支付密碼等不同類型密碼是否采取不同的安全級別管理
		檢測是否能夠使用弱密碼
		檢測使用弱安全密碼時程序是否使用安全策略保證密碼安全
		檢測密碼找回策略是否存在安全隱患
	支付安全	檢測是否有支付密碼保護
		檢測支付行為發(fā)生時是否有檢測環(huán)境清場檢測
		檢測是否有支付密碼試錯次數(shù)限制
	身份認證	檢測在安全級別要求較高的應用場景是否有除密碼之外的安全認證機制，安全認證機制是否起到保護效果
	超時設置	檢測是否有會話超時機制，超時后重鑒別
	異常處理	檢測在軟件操作異常時是否有異常處理機制，錯誤提示信息是否泄露敏感信息
組件安全	Activity安全	檢測Activity是否會被權(quán)限劫持
		檢測Activity是否會被劫持
		檢測Activity跳轉(zhuǎn)時傳輸?shù)臄?shù)據(jù)是否安全
		檢測Activity結(jié)束運行后是否遺漏敏感數(shù)據(jù)
		檢測Activity是否有被啟動者身份(防止被第三方程序惡意啟動)
	Broadcast Receiver安全	檢測Broadcast Receiver是否會被權(quán)限攻擊
		檢測Broadcast Receiver是否會被監(jiān)聽、劫持
		檢測Broadcast Receiver是否有被啟動者身份認證(防止被第三方程序惡意啟動)
	Service安全	檢測Service是否會被權(quán)限劫持
		檢測Service是否會被劫持
		檢測Service跳轉(zhuǎn)時傳輸?shù)臄?shù)據(jù)是否安全
		檢測Service結(jié)束運行后是否遺漏敏感數(shù)據(jù)
		檢測Service是否有被啟動者身份認證(防止被第三方程序惡意啟動)
	Content Provider安全	檢測Content Provider是否會被權(quán)限攻擊
		檢測Content Provider是否存在泄露隱私數(shù)據(jù)風險
		檢測Content Provider執(zhí)行源碼是否暴露
	Intent安全	檢測Intent是否會被權(quán)限攻擊
		檢測Intent是否泄露隱私數(shù)據(jù)
WebView安全	WebView安全	檢測HTML5和WebView組件是否存在代碼注入漏洞
		檢測WebView.load的第三方H5還是自身提供的H5
		檢測WebView是否使用系統(tǒng)已經(jīng)被暴露風險的函數(shù)（已知漏洞）
發(fā)布規(guī)范	測試數(shù)據(jù)移除	檢測發(fā)布應用中是否包含不應包含的測試代碼
		檢測發(fā)布應用中測試數(shù)據(jù)是否暴露隱私數(shù)據(jù)信息
	日志信息移除	檢測發(fā)布應用中是否包含不應該包含的日志信息
		檢測發(fā)布版本測試日志信息是否正常輸出
安全合規(guī)		檢測應用是否符合國家相關安全標準
安全增強	權(quán)限管理	是否存在權(quán)限溢出問題
		是否存在串謀攻擊隱患
	輸入檢測	是否存在客戶端注入問題
		是否存在輸入數(shù)據(jù)被攔截或泄露等問題
	鍵盤記錄	是否存在鍵盤記錄隱患
		鍵盤是否能夠被注入鉤子
	界面劫持	用戶在進行敏感信息輸入時是否存在界面劫持和截屏問題
	模擬器檢測	檢測應用是否可以運行在模擬器環(huán)境中
		檢測應用運行在危險的模擬器環(huán)境中程序是否能夠進行運行
	進程保護	檢測應用是否具備抵抗進程注入的能力
	動態(tài)調(diào)試	檢測程序是否具備抵抗動態(tài)調(diào)試的能力（Java層和Native層）
	第三方SDK安全	檢測App中使用的第三方SDK是否存在安全隱患
		檢測App中使用的第三方SDK是否存在潛在后面
		檢測App中使用的第三方SDK性能、兼容、功能是否存在潛在隱患
	AndroidManifest配置	檢測AndroidManifestt.xml中是否有不安全的配置，如allowBackup、debuggable等
程序完整性	程序簽名	檢測程序是否進行簽名校驗，簽名校驗是否會被繞過
		檢測程序簽名是否使用獨立的簽名文件而非使用系統(tǒng)簽名文件
	完整性校驗	檢測程序是否進行簽名校驗，簽名校驗是否會被繞過
		檢測程序是否進行簽名校驗，簽名校驗是否會被繞過
程序機密性	代碼混淆	檢測程序是否進行代碼混淆
	Dex保護	檢測程序可執(zhí)行文件Dex是否做加固處理
	SO保護	檢測程序的本地庫文件是否做加固處理
	資源文件保護	檢測程序的資源文件是否做加固處理
	內(nèi)存保護	檢測程序運行時內(nèi)存空間是否有安全保護
	重要函數(shù)邏輯安全	檢測程序運行時重要函數(shù)是否有安全保護
	硬編碼	檢測程序是否存在硬編碼問題
	WebView	如果程序使用混合（Hybrid）編程，檢測JS功能函數(shù)是否進行代碼混淆和加固
數(shù)據(jù)輸入	敏感數(shù)據(jù)顯示	檢測敏感數(shù)據(jù)(如用戶密碼)輸入時軟件界面是否為非明文顯示
	輸入監(jiān)聽	檢測用戶進行輸入操作時，輸入的數(shù)據(jù)是否會被其他終端或其他城西非授權(quán)獲取
數(shù)據(jù)存儲	存儲數(shù)據(jù)類別	檢測是否本地保存手機號、密碼等敏感信息，程序應盡可能少的存儲用戶的敏感數(shù)據(jù)
	數(shù)據(jù)訪問控制	檢測數(shù)據(jù)是否僅被授權(quán)用戶或應用進程訪問
	敏感數(shù)據(jù)加固	檢測是否對口令、密碼、銀行卡號等已本地保存的敏感信息進行加固處理，加固強度是否到達要求
	內(nèi)存數(shù)據(jù)安全	檢測程序在運行過程中，內(nèi)存中是否保存敏感數(shù)據(jù)，敏感數(shù)據(jù)是否進行加固處理，加固強度是否達到要求
數(shù)據(jù)傳輸	遠程數(shù)據(jù)通訊協(xié)議	檢測程序與服務器通信過程中，敏感數(shù)據(jù)是否選擇SSL/TLS或IPSec等安全通信協(xié)議
	證書驗證	檢測程序與服務器的通信是否有證書，是否有證書合法性和一致性校驗
	遠程數(shù)據(jù)通信加固	檢測程序與服務器通信的敏感數(shù)據(jù)是否進行加固處理，加固強度是否達到要求
	數(shù)據(jù)傳輸完整性	檢測程序與服務器通信的敏感數(shù)據(jù)是否進行完整性校驗，防止數(shù)據(jù)傳輸中斷或被篡改
	本地數(shù)據(jù)通訊安全	檢測程序與本地其他應用進程間的數(shù)據(jù)傳輸是否采取加固處理和權(quán)限控制
	會話安全	檢測程序session的安全性
	重放攻擊	檢測應用軟件與服務器通信報文被第三方嗅探后是否可以進行重放攻擊
數(shù)據(jù)輸出	調(diào)試信息	檢測應用運行時是否有調(diào)試信息輸出，調(diào)試信息是否包含敏感數(shù)據(jù)
		檢測應用運行時輸出的異常數(shù)據(jù)是否泄露隱私
	敏感信息顯示	檢測應用對敏感細膩些進行顯示（賬號、密碼、身份證號等）時是否對部分字段進行屏蔽
		檢測應用在進行界面切換后，前一界面的敏感信息是否被清空

總結(jié)

以上是生活随笔為你收集整理的APP渗透测试检查-checklist的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。