app测试项目如何做好app的测试工作

app测试项目  时间:2021-09-19  阅读:()

APP专项测试可以考虑的主要方向有哪些?

相对于web项目来说,APP项目专项测试一般来说包括了: 1. 兼容性 2. 安装卸载升级 3. 交叉事件测试 4. PUSH推送测试 5. 性能测试 6. 以及其他的一些,权限,极限和易用性问题 有关主要方向的介绍,可以到黑马程序员社区看一下。

里面有很多技术大牛的文章。

「软件测试」如何进行APP安全性测试

一、前言 在SDK最近的项目中上线的包被第三方杀毒软件报出有病毒的问题,后来经过查验发现是SDK悬浮窗动画的逻辑被检验出有病毒,最后进行了修改。

事情虽然解决了,但是引起该问题的一个原因是在测试中没有安全测试,而安全测试的标准,方法都没有。

因此今天将之前工作中参与过的安全测试以及从网上查阅到有关安全测试的资料进行整理。

有不足的之处,尽情谅解。

二、软件权限 1)扣费风险:浏览网页,下载,等情况下是否会扣费,一般在游戏APP,和社交APP等需要考虑这些。

2)隐私泄露风险。

例如在我们安装APP应用时通常会看到"xx要读取手机通讯录"等提示,这些提示可以提示用户拒绝接受,这些是APP测试中的测试点。

3)校验input输入。

对于APP有输入框的要对输入的信息进行校验,比如密码不能显示明文。

在测试中红人馆注册时需要对input进行测试。

4)限制/允许使用手机功能接人互联网,收发信息,启动应用程序,手机拍照或者录音,读写用户数据。

这个在通信行业用的比较多,比如展讯,高通等芯片厂商,他们在出厂芯片时要对手机各个功能进行测试。

三、代码安全性 之所以单独拿出来说,是因为在SDK测试过程中SDK代码被第三方工具检测出游病毒代码,这样一来就会影响输入法的使用。

因此在后续测试中要尝试加入安全性测试。

四、安装与卸载安全性 1)应用程序应能正确安装到设备驱动程序上 2)能够在安装设备驱动程序上找到应用程序的相应图标。

在SDK测试项目中发现有些设备受权限的问题,无法下发图标创建快链。

3)是否包含数字签名信息。

在SDK测试项目中基本上没有,但是在输入法打包和主线版本上存在这样的测试。

4)安装路径应能指定 5)没有用户的允许应用程序不能预先设定自动启动 6)卸载是否安全,其安装进去的文件是否全部卸载 7)卸载用户使用过程中产生的文件是否有提示 8)其修改的配置信息是否复原 9)卸载是否影响其他软件的功能 10)卸载应该移除所有的文件 11)安装包的存放。

在SDK下载安装包的测试中我们经常会看到下载下来的包后面有四个随机的字符串,这个的目的是为了防止第三方工具恶意删除安装包的问题。

在SDK测试项目中有专门针对下载安装卸载的用例,对安装的路径和下载的文件夹路径等有相关的测试,测试结果页表明,某些手机(例如华为mate1)在删除了某个下载路径文件夹之后受权限应用不会自动创建。

五、数据安全性 1)当将密码或其他的敏感数据输人到应用程序时,其不会被储存在设备中,同时密码也不会被解码 2)输人的密码将不以明文形式进行显示 3)密码,信用卡明细,或其他的敏感数据将不被储存在它们预输人的位置上 4)不同的应用程序的个人身份证或密码长度必需至少在4一8个数字长度之间 5)当应用程序处理信用卡明细,或其他的敏感数据时,不以明文形式将数据写到其它单独的文件或者临时文件中。

以防止应用程序异常终止而又没有删除它的临时文件,文件可能遭受人侵者的袭击,然后读取这些数据信息。

6)当将敏感数据输人到应用程序时,其不会被储存在设备中 7)备份应该加密,恢复数据应考虑恢复过程的异常通讯中断等,数据恢复后再使用前应该经过校验 8)应用程序应考虑系统或者虚拟机器产生的用户提示信息或安全警告 9)应用程序不能忽略系统或者虚拟机器产生的用户提示信息或安全警告,更不能在安全警告显示前,利用显示误导信息欺骗用户,应用程序不应该模拟进行安全警告误导用户 10)在数据删除之前,应用程序应当通知用户或者应用程序提供一个"取消"命令的操作 11)"取消"命令操作能够按照设计要求实现其功能 12)应用程序应当能够处理当不允许应用软件连接到个人信息管理的情况 13)当进行读或写用户信息操作时, 应用程序将会向用户发送一个操作错误的提示信息 14)在没有用户明确许可的前提下不损坏删除个人信息管理应用程序中的任何内容 15)应用程序读和写数据正确。

16)应用程序应当有异常保护。

17)如果数据库中重要的数据正要被重写,应及时告知用户 18)能合理地处理出现的错误 19)意外情况下应提示用户 20)HTTP、HTTPS覆盖测试。

在测试中我们经常会遇到与请求的加密解密测试,以确保产品的安全性

如何做好app的测试工作

对于app安全测试,我感觉是工欲善其事,必先利其器了。



跟据爱内测介绍,主要有以下三个方式:一、静态分析静态分析主要是利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译,并对反编译后的java文件、xml文件等文件进行静态扫描分析,通过关键词搜索等静态方式将具有安全隐患的代码进行摘录并存入到检测平台后台,为后续的安全检测报告提供数据依据。

二、动态分析动态分析技术是对应用软件安装、运行过程的行为监测和分析。

检测的方式包括沙箱模型和虚拟机方式。

沙箱模型方式通过建立安全的沙箱模型,使得移动应用的执行环境是封闭的一个沙箱,不受到沙箱外环境的干扰,结合传统pc机上的沙箱模型原理的分析和研究,得到合适于手机上的沙箱模型。

虚拟机方式通过建立与android手机终端软件运行环境几乎一样的虚拟执行环境,手机应用软件在其中独立运行,从外界观察应用程序的执行过程和动态,进而记录应用程序可能表现出来的恶意行为。

三、人工分析人工分析技术是专业安全人员接收到用户提交的待检测应用后,先对其进行安装、运行和试用,通过在试用过程中,逐步掌握该应用的特点,并通过自己的专业经验,来圈定检测重点。

VirMach:$27.3/月-E3-1240v1/16GB/1TB/10TB/洛杉矶等多机房

上次部落分享过VirMach提供的End of Life Plans系列的VPS主机,最近他们又发布了DEDICATED MIGRATION SPECIALS产品,并提供6.5-7.5折优惠码,优惠后最低每月27.3美元起。同样的这些机器现在订购,将在2021年9月30日至2022年4月30日之间迁移,目前这些等待迁移机器可以在洛杉矶、达拉斯、亚特兰大、纽约、芝加哥等5个地区机房开设,未来迁移的时...

#消息# contabo:德国老牌机房新增美国“纽约、西雅图”数据中心,免设置费

运作了18年的德国老牌机房contabo在继去年4月开办了第一个美国数据中心(中部城市:圣路易斯)后立马在本月全新上马两个数据中心:纽约、西雅图。当前,为庆祝美国独立日,美国三个数据中心的VPS全部免除设置费,VPS本身的配置很高,价格适中,有较高的性价比!官方网站:https://contabo.com/en/SSD VPSKVM虚拟,纯SSD阵列,不限制流量,自带一个IPv4内存CPUSSD带...

日本CN2、香港CTG(150元/月) E5 2650 16G内存 20M CN2带宽 1T硬盘

提速啦简单介绍下提速啦 是成立于2012年的IDC老兵 长期以来是很多入门级IDC用户的必选商家 便宜 稳定 廉价 是你创业分销的不二之选,目前市场上很多的商家都是从提速啦拿货然后去分销的。提速啦最新物理机活动 爆炸便宜的香港CN2物理服务器 和 日本CN2物理服务器香港CTG E5 2650 16G内存 20M CN2带宽 1T硬盘 150元/月日本CN2 E5 2650 16G内存 20M C...

app测试项目为你推荐
飘零网络验证怎么看一个程序是什么网络验证alexa排名助手Alexa排名是什么?怎么能获得排名ctf网络安全大赛网络用语yyds什么意思?这个梗是怎么来的?声源定位大家知道有什么办法能快速精确地定位噪声源?源码哥有报过源码熊的家长吗?他们的课程怎么样?孩子能听懂吗?内蒙古工业大学地址内蒙古工业大学的准葛尔校区在哪亚网路亚钓鱼的时间问题交通智能网智能网联汽车关键技术?天津职业大学地址天津职业大学怎么样?例外招聘高考完了想在家做份兼职,网上有招聘打字员的大家都说不可信,有没有例外?
免费cn域名 virpus 美国仿牌空间 服务器cpu性能排行 2017年万圣节 免费ftp空间申请 panel1 网站挂马检测工具 建立邮箱 中国电信测网速 世界测速 isp服务商 卡巴斯基免费试用 hktv 稳定空间 godaddy空间 宿迁服务器 国内空间 云销售系统 nnt 更多