报告样例1.APP安全检测报告-20160719

移动APP安全检测报告项目名称xxxxAPP-安全测试-Android项目编号Testin_xxxx_20160714送测单位xxxx有限公司测试类型安全测试2016年7月内部文档注意保密xxxxAndroid端安全检测报告2报告摘要本次xxxxAPPAndroid版的安全检测分别从七个方向进行，包括运行环境安全、应用安全、用户操作安全、数据安全、通信安全、业务安全、服务器端安全等，共27个安全检测用例。经检测发现：高风险问题7个，中风险问题13个，低风险问题6个，其中1个未测试项。如下图。风险等级数量高安全风险问题7中安全风险问题13低安全风险问题6xxxxAndroid端安全检测报告3“xxxx”AndroidAPP安全检测结果汇总测试用例用例名称测试项测试结果风险等级4.1环境安全检测系统root检测被测APP没有进行Android终端的root环境检测。中网络代理安全检测被测APP没有防网络代理操作。中4.2应用安全检测安装包逆向分析被测APP能被实现反编译，代码没有进行混淆。在代码中发现大量的URL信息，并且在代码中发现有支付相关的密钥和邮箱信息。高重打包检测经检测发现被测APP可进行重打包处理。重打包后的APP可安装可运行。高组件安全检测经检测发现该APP的可攻击面为7个。其中有2个Activity，3个BroadcastReceiver,2个service可导出。中软件运行日志检测被测APP开启了日志调试功能，发现被测APP含有用户名、收货人名称、手机号、地址等敏感信息输出。高4.3用户操作安全检测弱口令检测被测APP注册界面可输入纯六位的弱口令密码注册。被测APP没有严格的密码校验机制。高密码找回安全检测经检测发现被测APP找回密码过程中不存在任意密码重置风险。低登录限制检测经检测发现被测APP没有错误密码登录限制机制，攻击者可对系统存在的账户进行暴力破解攻击。高密码保护机制检测经检测发现被测APP登录页面切换到后台再切换回到登录页面时，密码输入框中的内容没有及时清空。中验证码安全检测被测APP的图形验证码是由客户端生成，在注册操作中，未经过服务端验证，存在验证绕过风险。中4.4数据安全检测键盘劫持检测在被测APP界面上可以捕获到点击屏幕的坐标事件。中防屏幕录制检测被测APP在用户密码输入页面没有做防屏幕截屏操作，被测APP存在屏幕录制风险。中信息显示安全被测APP用户个人资料信息字符未经过隐蔽处理。中本地存储安全检测发现本地存储目录下的数据库文件中信息进行了加密处理。中本地文件权限检测发现本地存储有明文的用户的用户名、手机号码和用户Id等信息。低xxxxAndroid端安全检测报告4数据清除检测手机上卸载APP后，未发现残留有关于该APP的相关信息。低4.5通信安全检测传输协议分析经检测发现被测APP使用了HTTP协议进行网络传输数据。且传输数据为明文传输。高实体身份认证发现被测APP使用的是HTTP协议，有使用安全协议进行认证。中重放攻击检测被测APP不存在短信模块，测试条件不足。N/A会话超时检测经检测发现被测APP没有严格的会话超时检测验证机制。中断网会话检测经检测发现被测APP在断网时没有相关提示。中4.6业务安全检测越权访问检测被测APP在明显的越权访问风险。攻击者可通过修改数据包中的UserId字段非法获取他人的收货地址信息。高信息提示检测被测APP输入账户信息后进入主界面再切换到后台，发现被测APP没有相关提示。中数据有效性检测被测APP有相应的数据有效性校验。低4.7服务器端安全检测漏洞扫描检测对服务器端IP（115.xxx.xxx.xxx）使用工具进行漏洞扫描，未发现有高危漏洞。低敏感信息泄露检测查看从服务器端响应的数据未发现有相关敏感信息泄露。低xxxxAndroid端安全检测报告5目录报告摘要................................................................................................................................................................................2  “XXXX”ANDROIDAPP安全检测结果汇总................................................................................................................3  1  项目概述.......................................................................................................................................................................7  1.1  项目背景...............................................................................................................................................................7  1.2  参考标准和规范...................................................................................................................................................7  2  测试目标和内容...........................................................................................................................................................8  2.1  测试目标...............................................................................................................................................................8  2.2  测试内容...............................................................................................................................................................8  3  测试环境.......................................................................................................................................................................9  3.1  网络环境...............................................................................................................................................................9  3.2  软硬件环境...........................................................................................................................................................9  3.3  测试工具平台.......................................................................................................................................................9  3.4  测试对象...............................................................................................................................................................9  4  检测过程.....................................................................................................................................................................11  4.1  运行环境安全检测.............................................................................................................................................11  4.1.1  系统root检测............................................................................................................................................11  4.1.2  网络代理安全检测.....................................................................................................................................12  4.2  软件自身安全检测.............................................................................................................................................13  4.2.1  安装包逆向分析.........................................................................................................................................13  4.2.2  重打包检测.................................................................................................................................................13  4.2.3  组件安全检测...................................................................................