app安全測試方法小百科

隨著無線網(wǎng)絡和移動通信技術的發(fā)展，智能手機功能日趨強大，因此也將APP市場帶動了起來。但是隨著手機操作系統(tǒng)日益標準化，網(wǎng)絡攻擊手段不同往日，黑客已經(jīng)可以像攻擊電腦信息系統(tǒng)一樣針對手機系統(tǒng)發(fā)起攻擊，同時，APP的特點使其同時暴露在眾多的網(wǎng)絡安全風險和威脅之下，容易遭受到病毒、木馬、蠕蟲等惡意程序的攻擊。
構建安全軟件，而不只是代碼和測試階段的軟件。一個公司如果能夠在軟件app開發(fā)過程中更加注重軟件安全性，并且盡可能早的發(fā)現(xiàn)軟件開發(fā)周期中存在的安全漏洞，那么它就可以大大節(jié)省成本。計劃好地進行安全測試，極大地減少安全風險，并使企業(yè)的安全目標與企業(yè)總體業(yè)務目標相一致。從系統(tǒng)規(guī)劃、研究開發(fā)、上線、運營、變更、廢棄等各個環(huán)節(jié)都要考慮其安全性，應用系統(tǒng)的安全防護不僅要考慮開放的業(yè)務系統(tǒng)，還要考慮內部網(wǎng)絡系統(tǒng)和信息系統(tǒng)。
為確保APP的安全性與合規(guī)性，有必要對其實施有效的安全評估。
app安全測試怎么測？
安全測試常用方法：
(1)代碼審計
代碼審計主要是通過代碼走讀的方式對源代碼的安全性進行測試，常用的代碼檢查方法有數(shù)據(jù)流、控制流、信息流等，通過這些測試方法與安全規(guī)則庫進行匹配，進而發(fā)現(xiàn)潛在的安全漏洞。靜態(tài)代碼檢查方法主要是在編碼階段進行測試，盡可能早地發(fā)現(xiàn)安全性問題。

(2)動態(tài)滲透測試
動態(tài)滲透測試法主要是借助工具或手工來模擬的輸入，對應用程序進行安全性測試，進而發(fā)現(xiàn)系統(tǒng)中的安全性問題。動態(tài)滲透測試一般在系統(tǒng)測試階段進行，但覆蓋率較低，因為在測試過程中很難覆蓋到所有的可能性，只能是盡量提供更多的測試數(shù)據(jù)來達到較高的覆蓋率。

(3)掃描程序中的數(shù)據(jù)
系統(tǒng)的安全性強調，在程序運行過程中數(shù)據(jù)必須是安全的，不能遭到破壞，否則會導致緩沖區(qū)溢出的攻擊。數(shù)據(jù)掃描主要是對內存進行測試，盡量發(fā)現(xiàn)諸如緩沖區(qū)溢出之類的漏洞，這也是靜態(tài)代碼檢查和動態(tài)滲透測試很難測試到的。
（4）漏洞掃描
基于漏洞數(shù)據(jù)庫，通過自動化工具掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測。發(fā)現(xiàn)可利用漏洞的一種安全檢測行為。

免責聲明：1、文章文字與圖片來源網(wǎng)絡，如有問題請及時聯(lián)系我們。2、涉及轉載的所有文章、圖片、音頻視頻文件等資料，版權歸版權所有人所有。3、本文章內容如無意中侵犯了媒體或個人的知識產(chǎn)權，請聯(lián)系我們立即刪除

審核編輯 黃昊宇