[原创]浅谈移动App安全测试

[原创]浅谈移动App安全测试

 　　移动互联网很火，就像当年互联网兴起一样，这几天和朋友在沟通交流，谈到一个话题，你们做金融App钱放在你们哪边安全不？会不会你们做的移动App不安全，让人盗了里面的资金，我想了想，然后说这个你估计不了解，我们资金肯定是安全的，前段时间我刚好对App做过一些安全测试，才有信心说这个话，所以今天打算总结下前段时间的成果，算是有个交待。

　　移动App安全测试与传统软件或是Web安全测试还是有一定区别，必竟偏移动平台，主要是IOS和Android两个大的平台，当然做为移动金融App最重要的是什么？对安全来讲，我想主要还是数据，确切的讲是钱，所以核心App安全测试围绕这个展开；所以我们通过前期的讨论对App安全的检查点，我们重点关注的应用层，针对像传统谈级的主机安全，网络安全，物理层安全不在本次讨论中，所以我也针对这个需求划分了几个大的维度，具体如下：

　　代码安全（防进程注入检查/防逆向分析/完整性检查等）

　　本地数据安全（敏感数据是否加密/权限设置/敏感数据存储）

　　数据传输方法和实现(是否http明文通信/使用https是否绑定证书/密钥管理等)

　　交易安全（是否有信息泄漏/是否存在权限验证/信息提示完整性）

　　服务器安全（）

二 　移动App安全测试工具，如下

　　apktool

　　jeb

　　drozer

　　burp

　　fiddler

　　adb

　　。。。等