應用程序測試平臺-軟件測試中心應用程序測試內(nèi)容:
的人工測試�,云測試�����,兼容性測試�,移動安全服務(小程序滲透測試����,小程序掃描,小程序增強�,應用(APP)增強,應用(APP)安全漏洞檢測����,應用(APP)滲透測試,APP和小程序代碼審計)
騰創(chuàng)軟件測評app測試實力:
"騰創(chuàng)軟件測評"是一家致力于信息化建設的�����、具有CMA資質的第三方單位�,具備對企業(yè)進行軟件測試、安全測試等服務的能力����,為企業(yè)提供信息安全測評服務,其中包括信息安全風險評估���,app測試���,源代碼漏洞掃描和應用����,系統(tǒng)漏洞掃描�����。
應用程序測試-安全測試需求:
(1)鑒定����。
APP識別技術要求包括但不限于:
a)根據(jù)業(yè)務需要提供登錄控制模塊,以識別和識別用戶身份�����;
b)需要進行用戶身份識別的業(yè)務功能����,APP需要識別用戶的身份��,并提供當識別失敗時的處理措施�,如失敗提示等;
(c)應當確保用戶的身份標識唯一性��,用戶可以根據(jù)業(yè)務需求登錄到一個或多個終端;
d)默認帳戶和默認密碼是不合適的�����;
e)好有口令強度和口令的時間性檢查機制����,并可根據(jù)業(yè)務安全需要適時啟用這種檢查機制;
在出現(xiàn)非法鑒別請求�、會話超時、連接超時����、未完全連接等異常狀態(tài)時,APP應使會話進入休眠狀態(tài)���,鎖定狀態(tài)����,注銷或中斷連接����;
(g)用戶修改或找回密碼時,APP應具有驗證機制����;
(h)使用時涉及到驗證碼�����,包括圖片和手機短信驗證碼��,驗證碼應在應用的服務器端生成�����,圖形驗證碼應具有一定的抗誤能力��,短信驗證碼應具有防重放攻擊機制����;
APP應遵循“后臺實名制����、前臺自愿”的原則,對注冊用戶進行真實身份信息認證��。
(2)存取控制�。
APP存取控制技術要求包括但不限于:
對授權存取內(nèi)容進行嚴格的存取控制�����,不得超出授權范圍存取,第三方在APP上存取受保護用戶資料時�����,應先取得使用者許可或同意�����;
未經(jīng)用戶允許�����,APP不得修改終端資源配置����,不得對終端數(shù)據(jù)進行修改或刪除;
(c)在沒有用戶允許的情況下���,APP不得訪問終端信息(例如設備信息���、地理位置、聯(lián)系人信息���、通信記錄等)和終端資源(例如發(fā)送短信�、打、聯(lián)網(wǎng)��、拍照���、錄音����、呼叫其他應用等等)���;
d)不得截獲或保留用戶敏感信息或隱私信息����,例如用戶支付密碼等�;
e)根據(jù)業(yè)務需要,按照權限互斥的原則��,保障用戶�����、權限合理對應關系,避免任何可能產(chǎn)生安全問題的權限分配方式或結果�;
(f)在被用戶授予或修改權限后,本系統(tǒng)宜無需重新啟動��,APP相應權限即可生效����;
g)不得截獲或屏蔽由一個系統(tǒng)或設備所產(chǎn)生的提示信息或安全警告����;不得使用信息或警告來誤導或欺騙用戶,而在安全警告出現(xiàn)之前����,不得使用系統(tǒng)信息或安全警告。
軟體安全屬于軟件界的一個重要分支�。過去單機時代,安全問題主要是操作系統(tǒng)易感染病毒���,單機應用軟件安全問題并不突出�����。但隨著網(wǎng)絡的普及����,軟件安全問題也變得越來越突出,使得軟件安全測試的重要性也達到了前所未有的高度�。
