XX平台移动端安全测试报告模板

引言测试目的本次针对移动APP应用软件安全检测与处置工作的主要目的是提高移动端APP软件的安全性，降低攻击者攻击移动APP应用软件产生的风险，找出移动APP应用软件是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小，从而为制定相应的应对措施与解决方案提供实际的依据。通过分析移动APP应用软件在安全方面存在的弱点和风险，为安全加固和改进建议提供依据。编写本测试报告的目的是为研发工程师关于对XXX移动端APP的系统整体功能测试提供指导。读者对象 本测试报告的读者对象为软件开发项目管理者、软件工程师、测试工程师、安全工程师。参考标准《信息安全技术-信息系统安全等级保护级别要求-移动互联网要求标准》《信息安全技术移动智能终端个人信息保护技术要求》《中国金融移动支付客户端技术规范》《中国金融移动支付应用安全规范》《网上银行信息系统通用安全规范》《移动互联网应用软件安全评估大纲》《移动互联网恶意程序描述格式》《电子银行安全评估指引》《电子银行业务管理办法》《OWASP测试指南》

测试概述测试对象程序名称XXX司机端XXX乘客端功能软件版本上线时间文件包名文件哈希运营者服务器所在机房测试安排名称内容测试时间测试人员测试环境测试设备测试软件AppUse、burpsuite、charles、wireshark、baksmali/smali、apktool、virtuoustenstudio、dex2jar、JavaDecompiler、apk-extractor、keytool/jarsigner、signapk、AndroidResEdit、manitree、DroidBox等测试流程本次测试的流程主要包括以下阶段：确定范围：客户根据自己的需要，确定本次测试的范围；准备阶段：对测试范围中的手机应用软件进行收集整理和资产调研，获取测试账号和密码；软件安全评估测试阶段：在此阶段，对手机应用软件进行数据安全性评估、程序安全性评估、程序健壮性评估；软件安全性检测阶段：在此阶段，对手机应用软件WEB调用接口进行安全性检测；漏洞修复阶段。在此阶段，对手机应用软件之前发现的安全问题进行问题定级、漏洞修复方案确认、安全漏洞复测。测试方法本次测试主要采用的测试方法有：静态分析静态分析主要是利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译，并对反编译后的java文件、xml文件等文件进行静态扫描分析，通过关键词搜索等静态方式将具有安全隐患的代码进行摘录并存入到检测平台后台，为后续的安全检测报告提供数据依据。动态分析动态分析技术是对应用软件安装、运行过程的行为监测和分析。检测的方式为虚拟机方式。沙箱模型方式通过建立安全的沙箱模型，使得移动应用的执行环境是封闭的一个沙箱，不受到沙箱外环境的干扰，结合传统PC机上的沙箱模型原理的分析和研究，得到合适于手机上的沙箱模型。虚拟机方式通过建立与Android手机终端软件运行环境几乎一样的虚拟执行环境，手机应用软件在其中独立运行，从外界观察应用程序的执行过程和动态，进而记录应用程序可能表现出来的恶意行为。人工分析人工分析技术是专业安全人员接收到用户提交的待检测应用后，先对其进行安装、运行和试用，通过在试用过程中，逐步掌握该应用的特点，并通过自己的专业经验，来圈定检测重点。人工专业检测在涵盖基础检测和深度检测的全部检测项的同时，兼顾侧重点检测，给予应用更全面、更专业、更贴合应用的量身打造的检测服务。漏洞等级划分针对安全评估发现的安全漏洞，确定漏洞等级。漏洞等级依照后果的不同严重程度分为3级，分别是高、中和低级。下表为漏洞等级划分的说明：漏洞等级说明（当该漏洞被利用时引起后果的严重性）高资产重大损失，业务中断，较大的财务损失等严重影响中资产系统损失，业务受到损害，中等的财务损失等影响低业务系统较小损失，并且立即可以受到控制，较小或忽略不计的财务损失等影响

测试内容XXX公司通过从应用安全性、源码安全性、数据安全性和WEB接口安全性四大方面对XXX移动端APP软件进行软件安全风险评估，评估手机应用APP软件的抵御敏感信息泄露的能力，抵御恶意程序入侵的能力和抵御被黑客恶意利用的能力。针对数据安全性、程序安全性、程序健壮性和WEB接口安全性四个部分的测试用例总计33项，其中30项测试内容适用于XXX移动端APP安全检测，2项不适用。应用安全性与潜在威胁测试编号测试项目本次是否测试测试定性Mob_APP_01Activity组件安全检测√是□否中危Mob_APP_02BroadcastReceiver组件安全检测√是□否中危Mob_APP_03Services组件安全检测√是□否中危Mob_APP_04ContentProvider组件安全检测√是□否中危Mob_APP_05allowBackup安全漏洞√是□否低危Mob_APP_06APP应用权限检测√是□否低危源码安全性与潜在威胁测试编号测试项目本次是否测试测试定性Mob_SRC_01代码混淆检测√是□否低危Mob_SRC_02是否易被调试√是□否低危Mob_SRC_03DEX保护检测√是□否低危Mob_SRC_04SO文件保护检测√是□否低危Mob_SRC_05程序完整性检测√是□否中危数据安全性与潜在威胁测试编号测试项目本次是否测试测试定性Mob_Data_01日志信息泄露安全检测√是□否中危Mob_Data_02本地敏感信息明文存储√是□否中危Mob_Data_03是否对本地数据库进行加密√是□否中危WEB接口安全性与潜在威胁测试编号测试项目本次是否测试测试定性Mob_Web_01SQL注入测试√是□否高危Mob_Web_02XSS跨站脚本攻击测试√是□否高危Mob_Web_03上传漏洞测试√是□否高危Mob_Web_04越权测试√是□否高危Mob_Web_05命令执行测试√是□否高危Mob_Web_06敏感信息明文传送√是□否中危Mob_Web_07验证码设计缺陷√是□否中危Mob_Web_08未授权访问测试√是□否高危Mob_Web_09会话重放测试√是□否低危Mob_Web_10设计权限/逻辑错误√是□否高危Mob_Web_11http方法测试√是□否低危Mob_Web_12身份信息维护方式测试√是□否低危Mob_Web_13用户登录失败测试√是□否中危Mob_Web_14WEB服务器控制台测试√是□否高危Mob_Web_15敏感接口遍历测试√是□否低危Mob_Web_16端口开放测试√是□否低危Mob_Web_17弱口令测试√是□否低危Mob_Web_18敏感信息泄露√是□否中危Mob_Web_19其他测试√是□否高危

安全风险分析Android乘客端APP安全风险项订单查询存在严重越权测试编号测试项目是否通过测试定性Mob_Web_04越权测试□是×否高危测试过程风险分析加固建议Activity组件可被劫持测试编号测试项目是否通过测试定性Mob_APP_01Activity组件安全检测□是×否高危测试过程风险分析加固建议IOS司机端APP安全问题分析本地敏感信息明文存储测试编号测试项目是否通过测试定性Mob_Data_07本地敏感信息明文存储□是×否中危测试过程风险分析加固建议敏感信息明文传送测试编号测试项目是否通过测试定性Mob_Web_06敏感信息明文传送□是×否中危测试过程风险分析加固建议已加固风险项SSLv3-Poodle攻击漏洞测试编号测试项目是否通过测试定性Web_Depy_03支持SSLV3协议√是□否中危测试过程风险分析加固复测测试通过项会话定置测试测试编号测试项目是否通过测试定性Mob_Web_15会话定置测试√是□否低危测试目的测试用户登录前后会话标识是否更新测试步骤1、设置手机的ip代理；2、用户登录手机客户端；3、开启burp截取传输过程的数据包；4、分别抓取登录前后的会话COOKIE值，并进行对比。测试结果用户登录后，系统会返回新的token值，用来标识用户身份。敏感接口遍历测试测试编号测试项目是否通过测试定性Mob_Web_17敏感接口遍历测试√是□否低危测试目的检查有无泄漏的敏感目录。测试步骤已知远端WEB服务器的根目录地址；加载目录字典对系统可能存在的目录进行遍历；如果服务器支持HEAD方法则采用HEAD提交，速度快，如果不支持则采用GET提交；观察响应代码，200表示存在该页面，403表示存在该目录，检查有无敏感路径。测试结果没有容易被猜解到的敏感目录。其他测试测试编号测试项目是否通过测试定性Mob_Web_22其他测试√是□否高危测试目的根据系统部署进行相应针对性测试。测试步骤根据系统部署特点进行针对性的测试。如CMS漏洞、中间件漏洞（iis、apache、weblogic、jboss、websphare）、心胀滴血、编辑器漏洞等。测试结果未检测到该项风险测试不适用项测试编号测试项目不适用说明Mob_APP_16FFmpeg文件读取漏洞APP中未使用FFmpeg。Mob_APP_17libupnp栈溢出漏洞APP中未使用libupnp。Mob_Web_14WEB服务器控制台测试对外的服务器未部署web控制台。

测试结论在通过对XXX公司XXXAPP的检测发现，系统采用了有效的防护措施,保障Activity、BroadcastReceiver、ContentProvider、Intent、WebView等组件的使用安全；系统采取了APP加壳保护、代码混淆、Dex保护、So保护等措施,防止程序被篡改或反编译,保障程序完整性和程序机密性；系统通过数据的访问控制、敏感数据加密、证书验证等措施,保障数据传输和数据存储方面的安全；系统对密码等敏感数据采取加密措施,保障登录等业务的安全性。但是该app仍然存在较多的安全风险，如对用户权限没有进行严格控制、上传处没有做限制、用户身份认证机制存在缺陷等，具体安全问题如下：1、Android乘客端APP安全问题编号安全风险数量风险级别1订单查询存在严重越权2高危2文件上传类型和大小没有限制1高危3本地敏感信息明文存储1中危4通信可被中间人劫持1低危2、IOS司机端APP安全问题编号安全风险数量风险级别1Activity组件可被劫持2高危2文件上传类型和大小没有限制1高危