(5)注销机制:客户端注销后,需要验证任何的来自该用户身份验证的接口调
用都不能调用成功
5.数据通信安全
(1)关键数据是否散列或加密:敏感信息在传输前需要进行散列或加密。
(2)关键连接是否使用安全通信:在获知接口设计后需要评估其中内容是否包含
敏感信息。
(3)是否对数字证书合法性进行验证:fiddle 工具模拟中间人攻击方法
(4)是否验证数据合法性
开发:对数据进行数字签名并在客户端进行相关校验
测试:可模拟后台返回进行相关测试工作
(5)组件安全测试(android 被外部应用恶意调用)测试:drozer 工具
6.环境相关测试
(1)干扰测试:a 收到电话 b 收到短信(考虑通知栏消息是否覆盖掉界面上信
息) c 收到通知栏消息
d 无电低电量提示框弹出
e 第三方安全软件告警框
弹出
(2)权限测试:开发在提测时提供一个需要的权限列表
(3)边界情况:a 可用存储空间过少
b 没有 SD 卡/双 SD 卡
c 飞行模式
d
系统时间有误
e 第三方依赖