移动互联网应用的安全测试要点

本文档详细阐述了移动互联网测试的关键领域，特别是安全测试的各个方面，确保应用程序在处理敏感数据和通信时的安全性。 在移动互联网测试中，安全测试是至关重要的，因为它涉及到用户的隐私和数据保护。以下是测试的主要点： 1. 数据安全性： - 密码和其他敏感数据不应在设备上存储或解码，以防止未授权访问。 - 密码显示应以星号或其他遮蔽形式，避免明文显示。 - 敏感数据如密码和个人信息不应存放在预输入的位置，以增加安全性。 - 个人识别信息和密码的最小长度应设定为4-8个字符，以增加复杂性。 - 应用程序在处理信用卡信息时，不应以明文形式写入单独文件或临时文件，防止因异常退出而暴露数据。 - 备份数据应加密，并考虑异常情况下的恢复过程，如通讯中断，恢复后的数据需经过校验。 - 应用程序应响应系统或虚拟机的安全提示和警告，避免误导用户或模拟警告。 - 在删除敏感数据前，应用应通知用户并提供取消选项，确保用户确认操作。 - “取消”命令应按预期工作，保证用户能撤销操作。 - 应用程序应适应不允许连接个人信息的情况，确保用户隐私。 - 用户操作错误时，应用需提供清晰的错误信息，且不应无故修改或删除用户信息。 - 数据的读写操作应准确无误，具备异常保护机制。 - 当关键数据即将被覆盖时，应用应提醒用户，确保数据的完整性。 - 错误处理应合理，能在意外情况下提供用户指导。 2. 通讯安全性： - 在运行期间，应用应能处理来电、短信等通信事件，暂停并恢复功能。 - 网络连接中断时，应用应能适当地通知用户。 - 应对通讯延迟或中断，维持应用的稳定运行。 - 如果出现连接错误，应用应发送错误信息给用户，提示连接问题。 - 面对网络异常，应用需快速响应并通知用户。 - 不再使用时，应用应主动关闭网络连接，节省资源。 - 对HTTP和HTTPS协议进行覆盖测试，确保与后台服务的安全通信，验证数据传输的加密有效性。 移动互联网测试的范围广泛，涵盖了数据安全和通讯安全等多个方面，目的是保障用户的数据安全和应用的可靠性。通过全面的测试，可以发现并修复潜在的问题，提高应用的质量和用户体验。