|
|
前面的文章中为大家介绍了一些APP测试的实践,在本部分我们一起探讨一下APP安全测试的难点,主要从APP合规性、安全测试技术复杂化、漏洞复现难这三部分展开。
APP合规性
测试人员需时时跟进网信办发布的合规要求文件,避免在安全测试过程中漏掉个别合规性测试。这部分是我们APP测试的一个难点,难在我们需要一直跟进网信办的一些政策和规定。这些政策和规定会不断地更新和调整,需要我们及时跟进,如果漏掉,会给APP带来很大的风险。
安全测试技术复杂化
安全测试越来越复杂化,不仅需要对APP进行安全测试,也需要关注第三方sdk的安全性问题,不仅需要静态测试,也需要动态测试和脱壳相关技术测试,这里面涉及到非常多的自动化测试框架。随着对移动应用安全性的要求越来越高,我们对APP的测试也需要不断深入。有时候我们会做第三方的加固,加固后我们也需要做相关的测试,是否有做一些环境的检测,是否有模拟器,是否有反调试,强度怎么样,怎样能够实现快速脱壳这些都需要我们去深入了解。
漏洞复现难
APP在安全测试过程中由于漏洞复现成本高,无法保证完全的将漏洞复现。我们作为测试人员其实都没有完全的把握能够把漏洞复现出来,有些漏洞的触发场景是很奇怪的,这方面也会给我们的工作带来一些挑战。
APP安全测试未来发展
技术门槛
越来越多的安全测试工具的成熟和更新,会降低安全测试的技术门槛。我们做安全测试主要还是基于一些自动化的测试工具,随着技术的快速更新和迭代,这些测试工具也会逐渐成熟,相对应地就会降低我们安全测试的技术门槛。比如我们把反调试和脱壳相关的工具集成起来,做自动化测试的时候就不需要我们写太多的代码和脚本。
测试平台
加固厂商的app自动化安全测试平台,不断迭代更新会大大降低安全测试成本。现在有很多安全厂商都在做一些安全测试自动化平台,现在很多公司的加固也都是通过采购第三方厂商的产品来实现。随着这些平台的不断成熟和完善,我们也可以借助这些平台去降低我们测试的成本。
以上就是本期APP安全测试系列文章的全部内容,本系列文章根据优品软件培育计划公益直播整理而来,可私信我获取直播回放链接。
(谢绝转载,更多内容可查看我的专栏)
<hr/>
@道普云 持续输出软件测试技术、软件测试团队建设、软件测评实验室认可等内容。不断更新中,欢迎交流探讨。
我的专栏:
性能测试
工具、方法、流程、诊断、调优......
安全测试
app安全测试、web安全测试、渗透测试、代码测试
软件测试CNAS认证
标准解读、政策分析、体系建设、测试方法、测试工具
功能测试
功能自动化测试、自动化测试工具、测试用例、缺陷管理
新兴技术测试
人工智能系统测试、大数据系统测试、自动化测试... |
|
发 帖
发表于 2023-1-14 17:22:26