首頁(yè) 猿問怎么檢測(cè)一個(gè)程序的安全性？

怎么檢測(cè)一個(gè)程序的安全性？

安全測(cè)試

慕神8447489 2018-10-22 08:04:32

怎么知道一個(gè)程序沒有危險(xiǎn)性，比如開啟什么服務(wù)之類的，盜號(hào)性質(zhì)等。殺毒軟件查殺無(wú)毒。不過可能會(huì)開啟遠(yuǎn)程服務(wù)功能，被遠(yuǎn)程控制等。有什么軟件能監(jiān)測(cè)一個(gè)應(yīng)用程序的行為。

查看完整描述

1 回答

藍(lán)山帝景

TA貢獻(xiàn)1843條經(jīng)驗(yàn) 獲得超7個(gè)贊

需要測(cè)試下面這些類別：
一；用戶隱私
檢查是否在本地保存用戶密碼，無(wú)論加密與否

檢查敏感的隱私信息，如聊天記錄、關(guān)系鏈、銀行賬號(hào)等是否進(jìn)行加密

檢查是否將系統(tǒng)文件、配置文件明文保存在外部設(shè)備上

部分需要存儲(chǔ)到外部設(shè)備的信息，需要每次使用前都判斷信息是否被篡改

二；文件權(quán)限

檢查程序所在的目錄，其權(quán)限必須為不允許其他組成員讀寫

三；網(wǎng)絡(luò)通訊

檢查敏感信息在網(wǎng)絡(luò)傳輸中是否做了加密處理，重要數(shù)據(jù)要采用TLS或者SSL

四；運(yùn)行時(shí)解釋保護(hù)

對(duì)于嵌有解釋器的軟件，檢查是否存在XSS、SQL注入漏洞

使用webiew的程序，檢查是否存在URL欺騙漏洞

五；組件權(quán)限保護(hù)

禁止程序內(nèi)部組件被任意第三方程序調(diào)用。

若需要供外部調(diào)用的組件，應(yīng)檢查對(duì)調(diào)用者是否做了簽名限制

六；升級(jí)

檢查是否對(duì)升級(jí)包的完整性、合法性進(jìn)行了校驗(yàn)，避免升級(jí)包被劫持