IOS 应用安全测试内容

- 日理万妓 2023-10-06 09:19 36阅读 0赞

**一、客户端数据安全**

1.1、**日志信息安全**

【测试说明】：日志的暴露会有利于黑客对客户端关键敏感逻辑的逆向分析，检查日志输出的控制是否合理等安全风险点。

1.2、**数据存储安全**

【测试说明】：检测ios的数据是否明文储存。

1.3、**键盘缓存检测**

【测试说明】：中文应用弹出的默认键盘是简体中文输入法键盘，在输入用户名和密码的时候，如果使用简体中文输入法键盘，输入英文字符和数字字符的用户名和密码时，会自动启动系统输入法自动更正提示，然后用户的输入记录会被缓存下来。

1.4、**系统剪切板数据**

【测试说明】：剪切版是IOS系统中程序之间进行数据交互的一个途径。如果将应用中的敏感数据存放到剪切板中，则可能长时间保存在剪切板中并且由于剪切板没有访问控制而造成数据泄露。

二、**安全策略设置**

2.1、**软键盘随机化**

【测试说明】：在使用自定义软键盘进行敏感信息输入的情况下，有可能被恶意软件进行屏幕点击位置劫持，获取对应的点击位置，得到其输入内容。

2.2、**密码修改验证**

【测试说明】：检测是否需要输入就密码验证来修改密码。

2.3、**密码复杂度检验**

【测试说明】：通常客户端没有设置禁止修改口令的强弱判断，导致用户有时贪图方便修改简单密码使攻击者容易通过弱口令进入账号进行非法操作。检测客户端修改密码能否输入弱口令。

2.4、**认证失败锁定**

【测试说明】：测试账户在登陆时多次输入密码错误或修改密码时候多次错误是否会导致账号被锁定。

2.5、**单点登录限制**

【测试说明】：绝大多数APP都不需要数台设备同时在线，允许同时在线则无法及时得知是否账号已经被攻击者获取登录并进行操作，也无法通过紧急措施将恶意登录的一方挤下线，保护账号安全。

三、**通信传输安全**

3.1、**通信协议安全**

【测试说明】：APP使用HTTP协议进行通信过程中可能会遭受中间人攻击，威胁数据安全。

3.2、**应用传输安全（ATS）**

【测试说明】：App Transport Security（ATS）是一项IOS功能，可强制移动应用使用HTTPS连接到后端服务器，而不是HTTP，以加密传输中的数据。 ATS强制最低安全级别要求，支持其功能的移动应用程序和Web服务。 适用于iOS 9.0或更高版本的软件开发套件（SDK）默认情况下是ATS，但开发人员可以通过将应用程序的NSAllowsArbitraryLoads键设置为true来选择退出。

四、**客户端静态安全**

4.1、**编译选项检测**

【测试说明】：检测程序中是否开启了相关的安全编译选项，如PIE、stack smashing（栈溢出）、ARC（自动引用计数，ARC由编译器进行内存管理），都可以对二进制攻击起到防护作用。

4.2、**栈溢出漏洞检测**

【测试说明】：程序中未处理好输入内容长度存放到相对应的长度buf中，一旦输入内容长度大于存储大小，则会发生栈溢出。

4.3、**格式化字符串漏洞**

【测试说明】：当程序直接将输入内容作为NSLog或者其他相关C语言函数（fpring、print等）的唯一参数时候，则可以通过输入%x或者%p之类信息进行堆栈读取。造成堆栈信息泄漏。

4.4、**程序完整性校验**

【测试说明】：测试客户端是否对自身完整性校验。客户端程序如果没有自校验机制的话，攻击者有可能通过篡改客户端程序，显示钓鱼信息欺骗用户，窃取用户的隐私信息。备注：该漏洞为低风险。

**4.5、二进制程序保护**

【测试说明】：编译好的可执行文件可以容易地被Hopper或者IDA这类软件反编译。在没有进行函数名和逻辑混淆的时候，则容易被反汇编得到关键逻辑进而进行破解。

**4.6、符号表信息泄露**

【测试说明】：符号表是逆向工程中的兵家必争之地。有效的符号表能够极大地方便反汇编和逆行工作的进行，在发布应用的时候未清除掉相关的符号则会辅助逆向分析。

五、**客户端运行时安全**

5.1、**越狱环境检测**

【测试说明】：越狱的设备是不安全环境，各种恶意程序都容易运行在越狱环境之中。越狱环境中运行则难以保证程序使用过程中数据的安全性。检测设备是否越狱是一个比较有用的方法。

5.2、**动态调试检测**

【测试说明】：程序如果没有反动态调试，攻击者能够使用LLDB对程序进行动态调试，修改运行时数据，影响程序正常运行甚至获取程序逻辑。

5.3、**输入记录保护**

【测试说明】：ios中安装了键盘记录程序（可以在非越狱状态运行），则使用系统键盘输入的内容易被键盘记录程序记录，导致内容泄漏。

5.4、**屏幕录像保护**

【测试说明】：测试通过截图工具，是否可以捕捉到用户密码输入框的密码。

发表评论取消回复

表情：

评论列表（有 0 条评论，36人围观）

还没有评论，来说两句吧...

相关阅读

相关【安全测试】安全测试介绍

一.定义安全测试是在IT软件产品的生命周期中，特别是产品开发基本完成到发布阶段，对产品进行检验以验证产品符合安全需求定义和产品质量标准的过程。二.目的

刺骨的言语ヽ痛彻心扉/ 2024年03月23日 14:39/ 0 赞/ 42 阅读

相关 IOS 应用安全测试内容

一、客户端数据安全 1.1、日志信息安全【测试说明】：日志的暴露会有利于黑客对客户端关键敏感逻辑的逆向分析，检查日志输出的控制是否合理等安全风险点。 1.2、数据存储安

- 日理万妓/ 2023年10月06日 09:19/ 0 赞/ 37 阅读

相关 Web应用测试内容再复习

一、功能测试 1、链接测试链接是Web应用系统的一个主要特征，它是在页面之间切换和指导用户去一些不知道地址的页面的主要手段。链接测试可分为三个方面。首先，测试所有链接

谁践踏了优雅/ 2022年12月27日 14:24/ 0 赞/ 140 阅读

相关 web应用安全测试之功能漏洞

信息猜解邮件内容中请求链接可预测漏洞描述邮件中的`重置密码等链接可预测`，导`致链接可以直接被猜解访问`。测试方法： . 先按照正常流程

布满荆棘的人生/ 2022年12月27日 08:23/ 0 赞/ 456 阅读

相关 web应用安全测试之业务漏洞

业务逻辑篡改密码修改/重置流程跨越漏洞描述密码修改功能常采用分步骤方式来实现，攻击者在`未知原始密码的情况下绕过某些检验步骤修改用户密码`。测试方

向右看齐/ 2022年12月27日 07:19/ 0 赞/ 305 阅读

相关 web应用安全测试之信息泄露

文章目录 robots.txt泄漏敏感信息漏洞描述测试方法：

ゝ一纸荒年。/ 2022年12月27日 02:18/ 0 赞/ 882 阅读

相关 2019测试指南-web应用程序安全测试（一）

[2019独角兽企业重金招聘Python工程师标准>>> ][2019_Python_] ![hot3.png][] 什么是Web应用程序安全测试？安全测试是通过有条不

以你之姓@/ 2022年10月01日 15:54/ 0 赞/ 212 阅读

相关 2019测试指南-web应用程序安全测试（二）地图应用架构

[2019独角兽企业重金招聘Python工程师标准>>> ][2019_Python_] ![hot3.png][] 互连和异构Web服务器基础架构的复杂性可包括数百个Web

落日映苍穹つ/ 2022年10月01日 15:54/ 0 赞/ 173 阅读

相关 Macaca自动化测试Android和IOS应用

1.Macaca简介 Macaca是阿里巴巴集团开发的一套完整的自动化测试解决方案。 2.Macaca特性：支持移动端和PC端支持Native,

桃扇骨/ 2022年07月13日 09:42/ 0 赞/ 204 阅读

相关 iOS 应用测试

本文讲的是iOS 应用测试， [![687474703a2f2f6d65726f77696e672e696e666f2f323031372f30312f746573

偏执的太偏执、/ 2021年09月19日 11:42/ 0 赞/ 340 阅读