基于Android系统移动终端的应用软件测试安全性测试.doc.doc

ICS 35.080 L 77 SQL/ECSA 深圳市电子商务企业标准联盟标准 SQL/ECSA 0028.8—2014 基于Android系统移动终端的应用软件测试 安全性测试 Android-based mobile?application software testing safety testing 2014-05-01发布 2014 - 07 -01实施 深圳市电子商务企业标准联盟发布 目次 前言 II 1　范围 1 2　规范性引用文件 1 3　缩略语 1 4　测试对象 1 5　测试目的 1 6　测试环境 1 7　测试原则 1 8　测试内容 2 9　测试方法 4 10　测试流程 5 11　测试文档 5 12　测试结果判定 5 前言 SQL/ECSA 0028《基于Android系统移动终端的应用软件测试》分为9个部分： ——总则； ——测试文档； ——测试流程； ——测试用例； ——单元测试； ——功能测试； ——兼容性测试； ——安全性测试； ——回归测试。 本部分为SQL/ECSA 0028的第8部分。 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由招商局蛇口工业区有限公司提出。 本标准起草单位： 基于Android系统移动终端的应用软件测试 安全性测试 范围 本标准规定了基于Google Android 系统移动终端的各类应用软件进行安全性测试的基本测试规范和准则。 本标准适用于基于Google Android 系统移动终端的应用软件安全性测试。本标准适用于基于Google Android 系统移动终端的应用软件开发人员、测试人员及质量管理人员等。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 SQL/ECSA 0028.1 基于Android 系统移动终端的应用软件测试 总则 SQL/ECSA 0028.2 基于Android 系统移动终端的应用软件测试 测试文档 SQL/ECSA 0028.3 基于Android 系统移动终端的应用软件测试 测试流程 缩略语 下列缩略语适用于本文件。 GUI：图形用户界面（Graphical User Interface） 测试对象 所有应用于基于Android系统移动终端的应用软件。 测试目的 查找软件自身程序设计中存在的安全隐患，并检查软件对非法侵入的防范能力。 测试环境 测试环境应符合SQL/ECSA 0028.1的规定。 测试原则 测试应遵循以下原则： 测试应根据测试计划和测试方案进行，排除测试的随意性； 应保证测试计划、测试方案和测试用例等经过评审； 当测试用例的测试结果与预期结果不一致时，测试执行人员应如实记录实际的测试结果； 当测试活动达到测试计划中的结束标准时，测试才能结束。 测试内容 概述 测试内容应包括软件的安装/卸载安全性、权限安全性、数据安全性、通讯安全性和人机接口安全性几个方面。 安装/卸载安全性 安装安全性 安装安全性测试内容包括： 软件是否能正确安装到Android移动终端的操作系统上； 软件安装后，是否能在安装设备的操作系统上找到软件的相应图标； APK文件和JAR包中包含的所有托管属性及其值是否正确； APK文件显示的资料内容与应用程序显示的资料内容是否一致； 用户是否能自主设定自动开启软件。 卸载安全性 卸载安全性测试内容包括： 软件卸载是否安全, 其安装文件是否可全部卸载； 卸载用户在使用软件过程中产生的文件是否有提示； 软件卸载后，其修改的配置信息是否可复原； 软件卸载是否影响其他软件的功能； 软件卸载是否能移除所有相关文件。 权限安全性 权限安全性测试主要包括软件的权限和访问安全机制测试，具体测试内容包括： 软件的用户授权级别、数据泄漏、非法授权访问； 互连网访问权限：限制／允许接入互联网； 信息发送：限制／允许发送接收信息功能； 自动启动权限：限制／允许软件自动启动； 本地连接：限制／允许本地连接； 媒体录制权限：限制／允许拍照或录音； 读取用户数据：限制／允许读取用户数据； 写入用户数据：限制／允许写入用户数据。 数据安全性 概述 数据安全性测试是软件安全性测试的核心内容，包括密码显示及存储、敏感数据处理、数据备份及恢复、安全提示和数据删除等。 密码显示及存储 密码显示及存储测试内容包括： 对软件进行密码或其他敏感数据输人时,应保证密码及敏感数据不会被解码； 输人的密码应不以明文形式进行显示； 密码或其他敏感数据不应被储存在它们预输入的位置上； 密码长度不少于4位数字长度。 敏感数据处理 敏感数据处理测试内容包括： 当软件处理密码或其他敏感数