203移动APP安全检测报告模板

移动APP安全检测报告2023年7月PAGEPAGE2 报告摘要 xxxxAPPAndroid安全、数据安全、通信安全、业务安全、服务器端安全等，共27个安全检测用例。经检测发现：高风险问题7个，中风险问题13个，低风险问题6个，其中1个未测试项。如下图。风险等级数量高安全风险问题7中安全风险问题13低安全风险问题6xxxxxxxxAndroid端安全检测报告PAGEPAGE3 “xxxx”AndroidAPP安全检测结果汇总 测试用例用例名称测试项测试结果风险等级4.1环境安全检测系统root检测被测APP没有进行Android终端的root环境检测。中网络代理安全检测被测APP没有防网络代理操作。中4.2应用安全检测安装包逆向分析被测APP能被实现反编译，代码没有进行混淆。在代码中发现大量的URL信息，并且在代码中发现有支付相关的密钥和邮箱信息。高重打包检测APPAPP可安装可运行。高组件安全检测经检测发现该APP72个Activity，3BroadcastReceiver,2service可导出。中软件运行日志检测被测APPAPP含有用户名、收货人名称、手机号、地址等敏感信息输出。高4.3用户操作安全检测弱口令检测被测APP注册界面可输入纯六位的弱口令密码注册。被测APP没有严格的密码校验机制。高密码找回安全检测经检测发现被测APP找回密码过程中不存在任意密码重置风险。低登录限制检测经检测发现被测APP没有错误密码登录限制机制，攻击者可对系统存在的账户进行暴力破解攻击。高密码保护机制检测经检测发现被测APP登录页面切换到后台再切换回到登录页面时，密码输入框中的内容没有及时清空。中验证码安全检测被测APP的图形验证码是由客户端生成，在注册操作中，未经过服务端验证，存在验证绕过风险。中4.4数据安全检测键盘劫持检测在被测APP界面上可以捕获到点击屏幕的坐标事件。中防屏幕录制检测被测APP在用户密码输入页面没有做防屏幕截屏操作，被测APP存在屏幕录制风险。中信息显示安全被测APP用户个人资料信息字符未经过隐蔽处理。中本地存储安全检测发现本地存储目录下的数据库文件中信息进行了加密处理。中本地文件权限检测发现本地存储有明文的用户的用户名、手机号码和用户Id等信息。低数据清除检测APPAPP低4.5通信安全检测传输协议分析APPHTTP协议进行网络传输数据。且传输数据为明文传输。高实体身份认证APPHTTP协议，有使用安全协议进行认证。中重放攻击检测被测APP不存在短信模块，测试条件不足。N/A会话超时检测经检测发现被测APP没有严格的会话超时检测验证机制。中断网会话检测经检测发现被测APP在断网时没有相关提示。中4.6业务安全检测越权访问检测被测APP在明显的越权访问风险。攻击者可通过修改数据包中的UserId字段非法获取他人的收货地址信息。高信息提示检测被测APP输入账户信息后进入主界面再切换到后台，发现被测APP没有相关提示。中数据有效性检测被测APP有相应的数据有效性校验。低4.7服务器端安全检测漏洞扫描检测对服务器端IP（115.xxx.xxx.xxx）使用工具进行漏洞扫描，未发现有高危漏洞。低敏感信息泄露检测查看从服务器端响应的数据未发现有相关敏感信息泄露。低目 录报告摘要 2“XXXX”ANDROIDAPP安全检测结果汇总 3项目概述 7项目背景 7参考标准和规范 7测试目标和内容 8测试目标 8测试内容 8测试环境 9网络环境 9软硬件环境 9测试工具平台 9测试对象 9检测过程 11运行环境安全检测 11系统root检测 11网络代理安全检测 12软件自身安全检测 13安装包逆向分析 13重打包检测 13组件安全检测 14软件运行日志检测 14用户操作安全检测 14弱口令检测 14密码找回安全检测 14登录限制检测 14密码保护机制检测 14验证码安全检测 14数据安全检测 15键盘劫持检测 15防屏幕录制检测 15信息显示安全检测 15本地存储安全检测 15本地文件权限检测 15数据清除检测 15通信安全检测 15传输协议分析 15实体身份认证 15重放攻击检测 16会话超时检测 16断网会话检测 16业务安全检测 16越权访问检测 16信息提示检测 16数据有效性检测 16服务器端安全检测 16漏洞扫描检测 16敏感信息泄露检测 165 附件 175.1 安全风险等级评定标准 17项目概述 项目背景AndroidAndroidAndroid评估手机软件安全的现状，为软件的安全改进提供建议，以提高手机相关软件的安全性。参考标准和规范 GB/T18336-2008信息技术安全技术信息技术安全性评估准则 GB17859-1999计算机信息系统安全保护等级划分准则 GB/T20984-2007信息安全技术信息安全风险评估规范 GB/T20271-2006信息安全技术信息系统通用安全技术要求 GB/T22239-2008 ISO/IEC27001:2005信息技术信息安全管理体系要求测试目标和内容 测试目标可靠的质量状态。测试内容xxxxxxxx_Androidxxxx_AndroidPAGEPAGE10测试环境 网络环境测试过程在真实网络环境下进行，测试使用到的手机和PC机均通过局域网连接到Internet。软硬件环境Android手机4台硬件环境设备SM-T1114AS6EdgeNotenote4软件环境操作应用系统：软件：Android4.2.2、Android5.1测试工具集PC机2台硬件环境设备型号：CPU：联想IntelCorei5-3210M8GBDDR3500GB软件环境操作系统：应用软件：Win8.1虚拟机VMware，java环境，测试工具集测试工具平台序号工具名称备注1.移动应用安全检测平台移动APP全自动化安全检测2.移动应用风险评估系统结合检测规范和测试用例开发的平台测试对象被测对象描述表被测APP名称xxxxAPP获取渠道下载地址：通过邮件获取APK包APP基本信息xxxx_Androidxxxx_AndroidPAGEPAGE11检测过程 运行环境安全检测root检测用例名称系统root检测执行时间2016.07.14测试内容APPAndroidrootAndroid在root的情况下，系统安全性会大大的降低。测试过程1、将被测APP安装到一个已被root的移动设备上。2APPAPProotAPProot测试结果被测APP没有进行Android终端的root环境检测。风险等级中整改建议在APP运行的时候应xxxx，以防潜在安全漏洞。网络代理安全检测用例名称网络代理安全检测执行时间2016.07.14测试内容APPHTTPAPPHTTP机制，APP在网络传输的数据包容易被中间人监听和篡改。测试过程1、将被测设备进行WIFI网络连接，设置Android设备HTTP网络代理。2APPAPP3、输入账号密码进行登录，通过网络抓包可以查看到传输的明文账号信息。图略测试结果被测APP没有防网络代理操作。xxxx_Androidxxxx_AndroidPAGEPAGE13风险等级中整改建议APP防网络代理操作可以从以下两个方面考虑：1、对APPxxxx。2、不对APPxxxx。软件自身安全检测安装包逆向分析步骤省略重打包检测用例名称重打包检测执行时间2016.07.14测试内容APPAPK进行重新签名打包然后进行安装。测试过程1APPAPP可以实现重打包。2APPAndroidAPP可安装可运行。图略测试结果经检测发现被测APP可进行重打包处理。重打包后的APP可安装可运行。风险等级高xxxxxxxx整改建议组件安全检测步骤省略软件运行日志检测步骤省略用户操作安全检测弱口令检测步骤省略密码找回安全检测步骤省略登录限制检测步骤省略密码保护机制检测步骤省略验证码安全检测步骤省略xxxx_Androidxxxx_AndroidPAGEPAGE15数据安全检测键盘劫持检测步骤省略防屏幕录制检测步骤省略信息显示安全检测步骤省略本地存储安全检测步骤省略本地文件权限检测步骤省略数据清除检测步骤省略通信安全检测传输协议分析步骤省略实体身份认证步骤省略重放攻击检测步骤省略会话超时检测步骤省略步骤省略断网会话检测步骤省略业务安全检测越权访问检测步骤省略信息提示检测步骤省略数据有效性检测步骤省略服务器端安全检测漏洞扫描检测步骤省略敏感信息泄露检测步骤省略附件 安全风险等级评定标准序号风险等级评定标准说明（符合以下条件之一）1低未发现明显的安全问题；未偏离相关国家行业标准规范要求；安全漏洞的利用不会对系统造成明显的安全隐患（如通过安全漏洞的利用只会获取系统组件的某些信息）；4）与以上相当危害程度的其他安全漏洞。2中偏离国家行业相关标准规范要求并且该项偏离会造成部分信息暴露等问题但不会直接引发严重问题（如读取后台数据库）；安全漏洞的利用会对系统造成一定的影响（如获得通信过程中的某些非明感信息）；3）安全漏洞的利用虽会对系统造成严重影响但很不容易利用；4）与以上相当危害程度的其他安全漏洞。3高偏离国家行业相关标准规范要并且该项偏离会直接引