隨著無(wú)線(xiàn)網(wǎng)絡(luò)和移動(dòng)通信技術(shù)的發(fā)展，智能手機(jī)功能日趨強(qiáng)大，因此也將APP市場(chǎng)帶動(dòng)了起來(lái)。但是隨著手機(jī)操作系統(tǒng)日益標(biāo)準(zhǔn)化，網(wǎng)絡(luò)攻擊手段不同往日，黑客已經(jīng)可以像攻擊電腦信息系統(tǒng)一樣針對(duì)手機(jī)系統(tǒng)發(fā)起攻擊，同時(shí)，APP的特點(diǎn)使其同時(shí)暴露在眾多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅之下，容易遭受到病毒、木馬、蠕蟲(chóng)等惡意程序的攻擊。
構(gòu)建安全軟件，而不只是代碼和測(cè)試階段的軟件。一個(gè)公司如果能夠在軟件app開(kāi)發(fā)過(guò)程中更加注重軟件安全性，并且盡可能早的發(fā)現(xiàn)軟件開(kāi)發(fā)周期中存在的安全漏洞，那么它就可以大大節(jié)省成本。計(jì)劃好地進(jìn)行安全測(cè)試，極大地減少安全風(fēng)險(xiǎn)，并使企業(yè)的安全目標(biāo)與企業(yè)總體業(yè)務(wù)目標(biāo)相一致。從系統(tǒng)規(guī)劃、研究開(kāi)發(fā)、上線(xiàn)、運(yùn)營(yíng)、變更、廢棄等各個(gè)環(huán)節(jié)都要考慮其安全性，應(yīng)用系統(tǒng)的安全防護(hù)不僅要考慮開(kāi)放的業(yè)務(wù)系統(tǒng)，還要考慮內(nèi)部網(wǎng)絡(luò)系統(tǒng)和信息系統(tǒng)。
為確保APP的安全性與合規(guī)性，有必要對(duì)其實(shí)施有效的安全評(píng)估。
app安全測(cè)試怎么測(cè)？
安全測(cè)試常用方法：
(1)代碼審計(jì)
代碼審計(jì)主要是通過(guò)代碼走讀的方式對(duì)源代碼的安全性進(jìn)行測(cè)試，常用的代碼檢查方法有數(shù)據(jù)流、控制流、信息流等，通過(guò)這些測(cè)試方法與安全規(guī)則庫(kù)進(jìn)行匹配，進(jìn)而發(fā)現(xiàn)潛在的安全漏洞。靜態(tài)代碼檢查方法主要是在編碼階段進(jìn)行測(cè)試，盡可能早地發(fā)現(xiàn)安全性問(wèn)題。

(2)動(dòng)態(tài)滲透測(cè)試
動(dòng)態(tài)滲透測(cè)試法主要是借助工具或手工來(lái)模擬的輸入，對(duì)應(yīng)用程序進(jìn)行安全性測(cè)試，進(jìn)而發(fā)現(xiàn)系統(tǒng)中的安全性問(wèn)題。動(dòng)態(tài)滲透測(cè)試一般在系統(tǒng)測(cè)試階段進(jìn)行，但覆蓋率較低，因?yàn)樵跍y(cè)試過(guò)程中很難覆蓋到所有的可能性，只能是盡量提供更多的測(cè)試數(shù)據(jù)來(lái)達(dá)到較高的覆蓋率。

(3)掃描程序中的數(shù)據(jù)
系統(tǒng)的安全性強(qiáng)調(diào)，在程序運(yùn)行過(guò)程中數(shù)據(jù)必須是安全的，不能遭到破壞，否則會(huì)導(dǎo)致緩沖區(qū)溢出的攻擊。數(shù)據(jù)掃描主要是對(duì)內(nèi)存進(jìn)行測(cè)試，盡量發(fā)現(xiàn)諸如緩沖區(qū)溢出之類(lèi)的漏洞，這也是靜態(tài)代碼檢查和動(dòng)態(tài)滲透測(cè)試很難測(cè)試到的。
（4）漏洞掃描
基于漏洞數(shù)據(jù)庫(kù)，通過(guò)自動(dòng)化工具掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)。發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)行為。

免責(zé)聲明：1、文章文字與圖片來(lái)源網(wǎng)絡(luò)，如有問(wèn)題請(qǐng)及時(shí)聯(lián)系我們。2、涉及轉(zhuǎn)載的所有文章、圖片、音頻視頻文件等資料，版權(quán)歸版權(quán)所有人所有。3、本文章內(nèi)容如無(wú)意中侵犯了媒體或個(gè)人的知識(shí)產(chǎn)權(quán)，請(qǐng)聯(lián)系我們立即刪除

審核編輯 黃昊宇