软件app安全测试的要求

软件app安全：

软件安全属于软件领域里一个重要的子领域。在以前的单机时代，安全问题主要是操作系统容易感染病毒，单机应用程序软件安全问题并不突出。但是自从互联网普及后，软件安全问题愈加显加突显，使得软件安全性测试的重要性上升到一个前所未有的高度。

腾创软件测评中心是一家致力于信息化建设全生命周期质量保障第三方测试单位，具有CMA证书，具备为企业提供软件测试、app安全测试的服务能力，为企业提供信息安全测评服务，包括信息安全风险评估、源代码安全漏洞扫描以及应用、系统、设备漏洞扫描。

软件app安全测试的要求：

（1）身份鉴别

APP 身份鉴别技术要求包括但不限于:

a)应根据业务需要提供登录控制模块，对用户身份进行鉴别和标识；

b) 对需要做用户身份鉴别的业务功能，APP 需对用户身份进行鉴别，并提供鉴别失败时处理措施，如失败提示等；

c)应确保用户身份标识唯一性，用户可根据业务需要允许其同时在一个或多个终端上登录；

d)不宜内置有默认账户及默认密码；

e)宜具备口令强度和口令时效性检查机制，根据业务安全需要可适时启用此检查机制；

当非法鉴别请求、会话超时、连接超时、不完整连接等异常状态发生时，APP 应使会话进入休眠状态、锁定状态，并注销或中断连接；

g)用户修改或找回口令时，APP 应具备验证机制；

h)在使用过程中涉及验证码，包括图形和手机短信验证码，验证码应在应用的服务器端生成，图形验证码宜具备一定的抗机器识别能力，短信验证码应具有防重放攻击机制；

i)APP 应按“后台实名、前台自愿”的原则，对注册用户进行真实身份信息认证。

（2）访问控制

APP 访问控制技术要求包括但不限于:

a) 应对授权访问的内容严格访问控制，不应有超出授权范围的访问，当第三方通过 APP 访问被保护的用户数据时，应先获得用户许可或同意；

b)未经用户许可，APP 不应修改终端资源配置，不应修改和删除终端数据；

c)未经用户许可，APP 不应访问终端信息(如设备信息、地理位置、联系人信息、通讯记录等)和终端资源(如发送短信、拨打、连接网络、拍照、录音、调用其他应用等)；

d)不应拦截或存留用户敏感或隐私信息，如用户支付密码等；

e) 根据业务需要，依据权限互斥的原则，保证用户、权限合理对应关系，避免任何可能产生安全问题的权限分配方式或结果；

f)被用户赋予或修改权限后，宜不需重启系统，APP相应的权限即可生效；

g)不应拦截或屏蔽系统或设备产生的用户提示信息或安全警告；不应在安全警告显示前，利用信息或警告误导或欺骗用户；不应模拟系统信息或安全警告误导用户。

（3）审计日志

APP 审计日志技术要求包括但不限于:

a) 应记录用户使用的日志信息，且日志保存期限不宜少于60日；如有服务器端，服务器也应记录相应日志；

b) 应以合适的方式向用户展示相关日志信息；

c）服务器端日志中不宜记录用户敏感信息数据，如需要记录敏感信息数据，应进行模糊化处理。