203移動APP安全檢測報告模板

移動APP安全檢測報告2023年7月PAGEPAGE2 報告摘要 xxxxAPPAndroid安全、數(shù)據(jù)安全、通信安全、業(yè)務(wù)安全、服務(wù)器端安全等，共27個安全檢測用例。經(jīng)檢測發(fā)現(xiàn)：高風險問題7個，中風險問題13個，低風險問題6個，其中1個未測試項。如下圖。風險等級數(shù)量高安全風險問題7中安全風險問題13低安全風險問題6xxxxxxxxAndroid端安全檢測報告PAGEPAGE3 “xxxx”AndroidAPP安全檢測結(jié)果匯總 測試用例用例名稱測試項測試結(jié)果風險等級4.1環(huán)境安全檢測系統(tǒng)root檢測被測APP沒有進行Android終端的root環(huán)境檢測。中網(wǎng)絡(luò)代理安全檢測被測APP沒有防網(wǎng)絡(luò)代理操作。中4.2應(yīng)用安全檢測安裝包逆向分析被測APP能被實現(xiàn)反編譯，代碼沒有進行混淆。在代碼中發(fā)現(xiàn)大量的URL信息，并且在代碼中發(fā)現(xiàn)有支付相關(guān)的密鑰和郵箱信息。高重打包檢測APPAPP可安裝可運行。高組件安全檢測經(jīng)檢測發(fā)現(xiàn)該APP72個Activity，3BroadcastReceiver,2service可導(dǎo)出。中軟件運行日志檢測被測APPAPP含有用戶名、收貨人名稱、手機號、地址等敏感信息輸出。高4.3用戶操作安全檢測弱口令檢測被測APP注冊界面可輸入純六位的弱口令密碼注冊。被測APP沒有嚴格的密碼校驗機制。高密碼找回安全檢測經(jīng)檢測發(fā)現(xiàn)被測APP找回密碼過程中不存在任意密碼重置風險。低登錄限制檢測經(jīng)檢測發(fā)現(xiàn)被測APP沒有錯誤密碼登錄限制機制，攻擊者可對系統(tǒng)存在的賬戶進行暴力破解攻擊。高密碼保護機制檢測經(jīng)檢測發(fā)現(xiàn)被測APP登錄頁面切換到后臺再切換回到登錄頁面時，密碼輸入框中的內(nèi)容沒有及時清空。中驗證碼安全檢測被測APP的圖形驗證碼是由客戶端生成，在注冊操作中，未經(jīng)過服務(wù)端驗證，存在驗證繞過風險。中4.4數(shù)據(jù)安全檢測鍵盤劫持檢測在被測APP界面上可以捕獲到點擊屏幕的坐標事件。中防屏幕錄制檢測被測APP在用戶密碼輸入頁面沒有做防屏幕截屏操作，被測APP存在屏幕錄制風險。中信息顯示安全被測APP用戶個人資料信息字符未經(jīng)過隱蔽處理。中本地存儲安全檢測發(fā)現(xiàn)本地存儲目錄下的數(shù)據(jù)庫文件中信息進行了加密處理。中本地文件權(quán)限檢測發(fā)現(xiàn)本地存儲有明文的用戶的用戶名、手機號碼和用戶Id等信息。低數(shù)據(jù)清除檢測APPAPP低4.5通信安全檢測傳輸協(xié)議分析APPHTTP協(xié)議進行網(wǎng)絡(luò)傳輸數(shù)據(jù)。且傳輸數(shù)據(jù)為明文傳輸。高實體身份認證APPHTTP協(xié)議，有使用安全協(xié)議進行認證。中重放攻擊檢測被測APP不存在短信模塊，測試條件不足。N/A會話超時檢測經(jīng)檢測發(fā)現(xiàn)被測APP沒有嚴格的會話超時檢測驗證機制。中斷網(wǎng)會話檢測經(jīng)檢測發(fā)現(xiàn)被測APP在斷網(wǎng)時沒有相關(guān)提示。中4.6業(yè)務(wù)安全檢測越權(quán)訪問檢測被測APP在明顯的越權(quán)訪問風險。攻擊者可通過修改數(shù)據(jù)包中的UserId字段非法獲取他人的收貨地址信息。高信息提示檢測被測APP輸入賬戶信息后進入主界面再切換到后臺，發(fā)現(xiàn)被測APP沒有相關(guān)提示。中數(shù)據(jù)有效性檢測被測APP有相應(yīng)的數(shù)據(jù)有效性校驗。低4.7服務(wù)器端安全檢測漏洞掃描檢測對服務(wù)器端IP（115.xxx.xxx.xxx）使用工具進行漏洞掃描，未發(fā)現(xiàn)有高危漏洞。低敏感信息泄露檢測查看從服務(wù)器端響應(yīng)的數(shù)據(jù)未發(fā)現(xiàn)有相關(guān)敏感信息泄露。低目 錄報告摘要 2“XXXX”ANDROIDAPP安全檢測結(jié)果匯總 3項目概述 7項目背景 7參考標準和規(guī)范 7測試目標和內(nèi)容 8測試目標 8測試內(nèi)容 8測試環(huán)境 9網(wǎng)絡(luò)環(huán)境 9軟硬件環(huán)境 9測試工具平臺 9測試對象 9檢測過程 11運行環(huán)境安全檢測 11系統(tǒng)root檢測 11網(wǎng)絡(luò)代理安全檢測 12軟件自身安全檢測 13安裝包逆向分析 13重打包檢測 13組件安全檢測 14軟件運行日志檢測 14用戶操作安全檢測 14弱口令檢測 14密碼找回安全檢測 14登錄限制檢測 14密碼保護機制檢測 14驗證碼安全檢測 14數(shù)據(jù)安全檢測 15鍵盤劫持檢測 15防屏幕錄制檢測 15信息顯示安全檢測 15本地存儲安全檢測 15本地文件權(quán)限檢測 15數(shù)據(jù)清除檢測 15通信安全檢測 15傳輸協(xié)議分析 15實體身份認證 15重放攻擊檢測 16會話超時檢測 16斷網(wǎng)會話檢測 16業(yè)務(wù)安全檢測 16越權(quán)訪問檢測 16信息提示檢測 16數(shù)據(jù)有效性檢測 16服務(wù)器端安全檢測 16漏洞掃描檢測 16敏感信息泄露檢測 165 附件 175.1 安全風險等級評定標準 17項目概述 項目背景AndroidAndroidAndroid評估手機軟件安全的現(xiàn)狀，為軟件的安全改進提供建議，以提高手機相關(guān)軟件的安全性。參考標準和規(guī)范 GB/T18336-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則 GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則 GB/T20984-2007信息安全技術(shù)信息安全風險評估規(guī)范 GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求 GB/T22239-2008 ISO/IEC27001:2005信息技術(shù)信息安全管理體系要求測試目標和內(nèi)容 測試目標可靠的質(zhì)量狀態(tài)。測試內(nèi)容xxxxxxxx_Androidxxxx_AndroidPAGEPAGE10測試環(huán)境 網(wǎng)絡(luò)環(huán)境測試過程在真實網(wǎng)絡(luò)環(huán)境下進行，測試使用到的手機和PC機均通過局域網(wǎng)連接到Internet。軟硬件環(huán)境Android手機4臺硬件環(huán)境設(shè)備SM-T1114AS6EdgeNotenote4軟件環(huán)境操作應(yīng)用系統(tǒng)：軟件：Android4.2.2、Android5.1測試工具集PC機2臺硬件環(huán)境設(shè)備型號：CPU：聯(lián)想IntelCorei5-3210M8GBDDR3500GB軟件環(huán)境操作系統(tǒng)：應(yīng)用軟件：Win8.1虛擬機VMware，java環(huán)境，測試工具集測試工具平臺序號工具名稱備注1.移動應(yīng)用安全檢測平臺移動APP全自動化安全檢測2.移動應(yīng)用風險評估系統(tǒng)結(jié)合檢測規(guī)范和測試用例開發(fā)的平臺測試對象被測對象描述表被測APP名稱xxxxAPP獲取渠道下載地址：通過郵件獲取APK包APP基本信息xxxx_Androidxxxx_AndroidPAGEPAGE11檢測過程 運行環(huán)境安全檢測root檢測用例名稱系統(tǒng)root檢測執(zhí)行時間2016.07.14測試內(nèi)容APPAndroidrootAndroid在root的情況下，系統(tǒng)安全性會大大的降低。測試過程1、將被測APP安裝到一個已被root的移動設(shè)備上。2APPAPProotAPProot測試結(jié)果被測APP沒有進行Android終端的root環(huán)境檢測。風險等級中整改建議在APP運行的時候應(yīng)xxxx，以防潛在安全漏洞。網(wǎng)絡(luò)代理安全檢測用例名稱網(wǎng)絡(luò)代理安全檢測執(zhí)行時間2016.07.14測試內(nèi)容APPHTTPAPPHTTP機制，APP在網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包容易被中間人監(jiān)聽和篡改。測試過程1、將被測設(shè)備進行WIFI網(wǎng)絡(luò)連接，設(shè)置Android設(shè)備HTTP網(wǎng)絡(luò)代理。2APPAPP3、輸入賬號密碼進行登錄，通過網(wǎng)絡(luò)抓包可以查看到傳輸?shù)拿魑馁~號信息。圖略測試結(jié)果被測APP沒有防網(wǎng)絡(luò)代理操作。xxxx_Androidxxxx_AndroidPAGEPAGE13風險等級中整改建議APP防網(wǎng)絡(luò)代理操作可以從以下兩個方面考慮：1、對APPxxxx。2、不對APPxxxx。軟件自身安全檢測安裝包逆向分析步驟省略重打包檢測用例名稱重打包檢測執(zhí)行時間2016.07.14測試內(nèi)容APPAPK進行重新簽名打包然后進行安裝。測試過程1APPAPP可以實現(xiàn)重打包。2APPAndroidAPP可安裝可運行。圖略測試結(jié)果經(jīng)檢測發(fā)現(xiàn)被測APP可進行重打包處理。重打包后的APP可安裝可運行。風險等級高xxxxxxxx整改建議組件安全檢測步驟省略軟件運行日志檢測步驟省略用戶操作安全檢測弱口令檢測步驟省略密碼找回安全檢測步驟省略登錄限制檢測步驟省略密碼保護機制檢測步驟省略驗證碼安全檢測步驟省略xxxx_Androidxxxx_AndroidPAGEPAGE15數(shù)據(jù)安全檢測鍵盤劫持檢測步驟省略防屏幕錄制檢測步驟省略信息顯示安全檢測步驟省略本地存儲安全檢測步驟省略本地文件權(quán)限檢測步驟省略數(shù)據(jù)清除檢測步驟省略通信安全檢測傳輸協(xié)議分析步驟省略實體身份認證步驟省略重放攻擊檢測步驟省略會話超時檢測步驟省略步驟省略斷網(wǎng)會話檢測步驟省略業(yè)務(wù)安全檢測越權(quán)訪問檢測步驟省略信息提示檢測步驟省略數(shù)據(jù)有效性檢測步驟省略服務(wù)器端安全檢測漏洞掃描檢測步驟省略敏感信息泄露檢測步驟省略附件 安全風險等級評定標準序號風險等級評定標準說明（符合以下條件之一）1低未發(fā)現(xiàn)明顯的安全問題；未偏離相關(guān)國家行業(yè)標準規(guī)范要求；安全漏洞的利用不會對系統(tǒng)造成明顯的安全隱患（如通過安全漏洞的利用只會獲取系統(tǒng)組件的某些信息）；4）與以上相當危害程度的其他安全漏洞。2中偏離國家行業(yè)相關(guān)標準規(guī)范要求并且該項偏離會造成部分信息暴露等問題但不會直接引發(fā)嚴重問題（如讀取后臺數(shù)據(jù)庫）；安全漏洞的利用會對系統(tǒng)造成一定的影響（如獲得通信過程中的某些非明感信息）；3）安全漏洞的利用雖會對系統(tǒng)造成嚴重影響但很不容易利用；4）與以上相當危害程度的其他安全漏洞。3高偏離國家行業(yè)相關(guān)標準規(guī)范要并且該項偏離會直接引