應(yīng)用程序測(cè)試平臺(tái)-軟件測(cè)試中心應(yīng)用程序測(cè)試內(nèi)容:
的人工測(cè)試���,云測(cè)試��,兼容性測(cè)試�,移動(dòng)安全服務(wù)(小程序滲透測(cè)試����,小程序掃描����,小程序增強(qiáng)����,應(yīng)用(APP)增強(qiáng),應(yīng)用(APP)安全漏洞檢測(cè)���,應(yīng)用(APP)滲透測(cè)試���,APP和小程序代碼審計(jì))
騰創(chuàng)軟件測(cè)評(píng)app測(cè)試實(shí)力:
"騰創(chuàng)軟件測(cè)評(píng)"是一家致力于信息化建設(shè)的、具有CMA資質(zhì)的第三方單位�,具備對(duì)企業(yè)進(jìn)行軟件測(cè)試、安全測(cè)試等服務(wù)的能力��,為企業(yè)提供信息安全測(cè)評(píng)服務(wù)�����,其中包括信息安全風(fēng)險(xiǎn)評(píng)估���,app測(cè)試��,源代碼漏洞掃描和應(yīng)用����,系統(tǒng)漏洞掃描。
應(yīng)用程序測(cè)試-安全測(cè)試需求:
(1)鑒定���。
APP識(shí)別技術(shù)要求包括但不限于:
a)根據(jù)業(yè)務(wù)需要提供登錄控制模塊���,以識(shí)別和識(shí)別用戶身份;
b)需要進(jìn)行用戶身份識(shí)別的業(yè)務(wù)功能����,APP需要識(shí)別用戶的身份,并提供當(dāng)識(shí)別失敗時(shí)的處理措施�,如失敗提示等;
(c)應(yīng)當(dāng)確保用戶的身份標(biāo)識(shí)唯一性��,用戶可以根據(jù)業(yè)務(wù)需求同時(shí)登錄到一個(gè)或多個(gè)終端���;
d)默認(rèn)帳戶和默認(rèn)密碼是不合適的����;
e)好有口令強(qiáng)度和口令的時(shí)間性檢查機(jī)制�,并可根據(jù)業(yè)務(wù)安全需要適時(shí)啟用這種檢查機(jī)制;
在出現(xiàn)非法鑒別請(qǐng)求��、會(huì)話超時(shí)���、連接超時(shí)��、未完全連接等異常狀態(tài)時(shí)���,APP應(yīng)使會(huì)話進(jìn)入休眠狀態(tài),鎖定狀態(tài)��,注銷或中斷連接�;
(g)用戶修改或找回密碼時(shí),APP應(yīng)具有驗(yàn)證機(jī)制���;
(h)使用時(shí)涉及到驗(yàn)證碼��,包括圖片和手機(jī)短信驗(yàn)證碼���,驗(yàn)證碼應(yīng)在應(yīng)用的服務(wù)器端生成,圖形驗(yàn)證碼應(yīng)具有一定的抗誤能力�����,短信驗(yàn)證碼應(yīng)具有防重放攻擊機(jī)制;
APP應(yīng)遵循“后臺(tái)實(shí)名制����、前臺(tái)自愿”的原則,對(duì)注冊(cè)用戶進(jìn)行真實(shí)身份信息認(rèn)證����。
(2)存取控制。
APP存取控制技術(shù)要求包括但不限于:
對(duì)授權(quán)存取內(nèi)容進(jìn)行嚴(yán)格的存取控制��,不得超出授權(quán)范圍存取���,第三方在APP上存取受保護(hù)用戶資料時(shí)��,應(yīng)先取得使用者許可或同意���;
未經(jīng)用戶允許,APP不得修改終端資源配置�,不得對(duì)終端數(shù)據(jù)進(jìn)行修改或刪除;
(c)在沒(méi)有用戶允許的情況下��,APP不得訪問(wèn)終端信息(例如設(shè)備信息�、地理位置、聯(lián)系人信息�、通信記錄等)和終端資源(例如發(fā)送短信���、打���、聯(lián)網(wǎng)���、拍照、錄音�、呼叫其他應(yīng)用等等);
d)不得截獲或保留用戶敏感信息或隱私信息���,例如用戶支付密碼等��;
e)根據(jù)業(yè)務(wù)需要���,按照權(quán)限互斥的原則,保障用戶��、權(quán)限合理對(duì)應(yīng)關(guān)系��,避免任何可能產(chǎn)生安全問(wèn)題的權(quán)限分配方式或結(jié)果���;
(f)在被用戶授予或修改權(quán)限后���,本系統(tǒng)宜無(wú)需重新啟動(dòng)���,APP相應(yīng)權(quán)限即可生效;
g)不得截獲或屏蔽由一個(gè)系統(tǒng)或設(shè)備所產(chǎn)生的提示信息或安全警告�����;不得使用信息或警告來(lái)誤導(dǎo)或欺騙用戶����,而在安全警告出現(xiàn)之前,不得使用系統(tǒng)信息或安全警告��。
軟體安全屬于軟件界的一個(gè)重要分支���。過(guò)去單機(jī)時(shí)代���,安全問(wèn)題主要是操作系統(tǒng)易感染病毒,單機(jī)應(yīng)用軟件安全問(wèn)題并不突出��。但隨著網(wǎng)絡(luò)的普及�����,軟件安全問(wèn)題也變得越來(lái)越突出,使得軟件安全測(cè)試的重要性也達(dá)到了前所未有的高度�。
