安卓应用测试工具的测试过程

目前安卓应用的安全现状，随着安卓应用的快速暴涨，相应的漏洞也逐渐增加。同时，市场上也出现了专业的安卓应用测试工具：爱内测/testin，个人认为testin的兼容性测试还是不错的。一般测试的过程如下：

1、安装包测试

安装包结构、能不反编译出源代码、安装包是否签名、重要函数、逻辑、加密算法、是否开启PIE Flag。   

2、数据传输测试

关键数据是否加密、客户端对服务器验证、传输加密、伪造;通过设置代理或使用第三方抓包工具，对应用发送与接收的数据包进行截获、重发、编辑、转存等恶意操作。   

3、数据验证测试

程序是否对数据合法性校验，检查加密是否可逆，可攥改。程序是否对数据合法性进行了校验。   

4、数据存储测试

是否保存手机号、密码等敏感信息、日志中是否存敏感信息、数据是否被别的应用访问、硬编码、日志、内存、调试信息、组件

(Activity/Service/Receiver/Provider)Keychain、屏幕快照、键盘存储。  

 5、安全增强测试

从服务端安全、键盘劫持、进程保护、第三方SDK安全检测。   

6、安全策略测试

密码策略、登陆次数、密码保护机制、会话保护策略。