我们如何对银行域移动应用程序进行安全测试?
How we can implement security testing on banking domain mobile application?
我有一个银行域移动应用程序,那么我将如何对该应用程序实施安全测试?
我不是安全专家,但我认为至少应测试以下内容:
1- 检查从 请求的所有服务是否已加密,至少是登录服务,以及是否有任何付款或 personal/company 信息。
2- 检查应用程序是否使用任何物理文件以纯文本格式存储数据。
3- 如果有 login/buying 项/或任何为用户提供更多东西的功能,您应该检查是否可以创建虚假请求。
4- 也尝试测试中间人,使用 fiddler 编辑通过应用程序的请求/响应,以及该编辑是否生效。
我有一个银行域移动应用程序,那么我将如何对该应用程序实施安全测试?
我不是安全专家,但我认为至少应测试以下内容: 1- 检查从 请求的所有服务是否已加密,至少是登录服务,以及是否有任何付款或 personal/company 信息。 2- 检查应用程序是否使用任何物理文件以纯文本格式存储数据。 3- 如果有 login/buying 项/或任何为用户提供更多东西的功能,您应该检查是否可以创建虚假请求。 4- 也尝试测试中间人,使用 fiddler 编辑通过应用程序的请求/响应,以及该编辑是否生效。