“陆金所” 之移动应用体检报告

2024-03-16 18:50

本文主要是介绍“陆金所” 之移动应用体检报告,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

“陆金所” 之移动应用体检报告

应用本次体检得分(69)分!

1,前言:

 We  are  Mr  Bug、 We are  App  Bug Hunter !!!

2,目的:

 本次活动目的是为了用评分的形式,通过:安全、性能、稳定三个方面去检测评估一款APP,为此还单独组建了一个的项目组一起协作攻破各项难点,覆盖各项检查点

3,活动简介:

主刀医生:Mr Bug项目团队

发起时间:9月25日

 发起方:毛里求斯

体检目标: 陆金所 V 2.8.1

 体健项: 性能,安全,稳定

4,评分规则:

  • 分为三块: 安全、 性能 、 稳定

  • 权重分别为: 40% 、30% 、30%

  • 三个模块下的子节点分数平均分配。

  • 每一模块下的子节点的总分根据测试过程评估以及结合发现问题严重程度两个维度进行单项评分!最后以每一项的最终得分的总分为本次体检的最终成绩。

安全标准

网络传输数据均需要经过加密和校验,不能获取有效信息或伪造数据重要类型的网络数据均经过加密和进行校验

涉及敏感数据外其他数据都必须加密

需要通过 https 传输。不能单单只靠最基本的认证手段(如 token)

所有数据明文传输,需加密或认证。所有数据均不能去伪造

数据库不能通过简单的一些入侵方式破解

数据需要加密,且不能使用通用的、已可被破解的加密方式(如 md5)

数据/数据库不能存储任何明文敏感信息

本地缓存中不能存储部分敏感信息

性能标准

重绘标准:3x和4x的页面不超过1/3

耗电量:一小时不超过300mAh

内存:不超过80M

流量:页面消耗不大于200KB

内存抖动:不出现内存抖动的现象,横向评比抖动的频率,如果其他App在该功能点不抖动或者抖动经过优化,说明待测App有问题

内存泄漏:不出现内存泄漏现象

首页场景加载-冷启动(全新安装,未登录,点击图标至手势密码界面+进入首页所有元素加载耗时) 6s

首页场景加载-热启动(非全新安装,已登录,点击图标至手势密码界面+进入首页所有元素加载耗时)3s

其他一般普通场景操作标准3s

其他体验标准

在测试过程中无明显crash,卡顿,等体验问题!

持续运行monkey测试发生异常概率高于(异常次数/模拟事件数) 10000分之7

5,评估图表:

6,BugList:

7,结论:

安全

1 ,没有任何重打包方面的检测,存在被重打包然后加入恶意代码的风险。

2 ,网络数据包没有防伪造检测,能通过抓包的方式获取到用户数据包并进行篡改

3、客户端无壳无第三方加固,apk可被直接反编译,得到相对完整的源码;

4、由于无壳无加固,反编译的源码可被植入恶意代码或第三方广告(如下图),并进行二次打包上架

5、日志部分肉眼检查,未发现特别敏感的信息。

性能

1,资源消耗方面,手势密码界面的内存有优化的地方,常驻内存较大。

2,主页、投资理财页面、我的账户页面等布局有很严重的重绘现象,这样会造成界面加载时间过长。

3,与微信扫描二维码功能的内存情况进行比较,很明显陆金所使用二维码扫描功能时内存出现了比较严重的抖动,算法需要优化。

4 ,每次启动,普遍耗时4S以上,并且基本不跟网络相关,跟其他的APP相比,明显略长。

5 ,在网络情况良好(宽带,4G情况),响应表现不错。但是在网络情况差(2G)时,耗时成几倍增加,应该是没有对这种情况做优化。

稳定

1, 通过使用Monkey和自动化脚本模拟50万以上的随机事件通过事件数/异常数计算异常概率为3/10000。

2,通过用Monkey脚本时间间隔时间1s左右持续执行12小时左右未发现异常。

这篇关于“陆金所” 之移动应用体检报告的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/816383

相关文章

PostgreSQL的扩展dict_int应用案例解析

《PostgreSQL的扩展dict_int应用案例解析》dict_int扩展为PostgreSQL提供了专业的整数文本处理能力,特别适合需要精确处理数字内容的搜索场景,本文给大家介绍PostgreS... 目录PostgreSQL的扩展dict_int一、扩展概述二、核心功能三、安装与启用四、字典配置方法

Python中re模块结合正则表达式的实际应用案例

《Python中re模块结合正则表达式的实际应用案例》Python中的re模块是用于处理正则表达式的强大工具,正则表达式是一种用来匹配字符串的模式,它可以在文本中搜索和匹配特定的字符串模式,这篇文章主... 目录前言re模块常用函数一、查看文本中是否包含 A 或 B 字符串二、替换多个关键词为统一格式三、提

Java MQTT实战应用

《JavaMQTT实战应用》本文详解MQTT协议,涵盖其发布/订阅机制、低功耗高效特性、三种服务质量等级(QoS0/1/2),以及客户端、代理、主题的核心概念,最后提供Linux部署教程、Sprin... 目录一、MQTT协议二、MQTT优点三、三种服务质量等级四、客户端、代理、主题1. 客户端(Clien

HTML5实现的移动端购物车自动结算功能示例代码

《HTML5实现的移动端购物车自动结算功能示例代码》本文介绍HTML5实现移动端购物车自动结算,通过WebStorage、事件监听、DOM操作等技术,确保实时更新与数据同步,优化性能及无障碍性,提升用... 目录1. 移动端购物车自动结算概述2. 数据存储与状态保存机制2.1 浏览器端的数据存储方式2.1.

CSS中的Static、Relative、Absolute、Fixed、Sticky的应用与详细对比

《CSS中的Static、Relative、Absolute、Fixed、Sticky的应用与详细对比》CSS中的position属性用于控制元素的定位方式,不同的定位方式会影响元素在页面中的布... css 中的 position 属性用于控制元素的定位方式,不同的定位方式会影响元素在页面中的布局和层叠关

SpringBoot3应用中集成和使用Spring Retry的实践记录

《SpringBoot3应用中集成和使用SpringRetry的实践记录》SpringRetry为SpringBoot3提供重试机制,支持注解和编程式两种方式,可配置重试策略与监听器,适用于临时性故... 目录1. 简介2. 环境准备3. 使用方式3.1 注解方式 基础使用自定义重试策略失败恢复机制注意事项

Python使用Tkinter打造一个完整的桌面应用

《Python使用Tkinter打造一个完整的桌面应用》在Python生态中,Tkinter就像一把瑞士军刀,它没有花哨的特效,却能快速搭建出实用的图形界面,作为Python自带的标准库,无需安装即可... 目录一、界面搭建:像搭积木一样组合控件二、菜单系统:给应用装上“控制中枢”三、事件驱动:让界面“活”

如何确定哪些软件是Mac系统自带的? Mac系统内置应用查看技巧

《如何确定哪些软件是Mac系统自带的?Mac系统内置应用查看技巧》如何确定哪些软件是Mac系统自带的?mac系统中有很多自带的应用,想要看看哪些是系统自带,该怎么查看呢?下面我们就来看看Mac系统内... 在MAC电脑上,可以使用以下方法来确定哪些软件是系统自带的:1.应用程序文件夹打开应用程序文件夹

Python Flask 库及应用场景

《PythonFlask库及应用场景》Flask是Python生态中​轻量级且高度灵活的Web开发框架,基于WerkzeugWSGI工具库和Jinja2模板引擎构建,下面给大家介绍PythonFl... 目录一、Flask 库简介二、核心组件与架构三、常用函数与核心操作 ​1. 基础应用搭建​2. 路由与参

Spring Boot中的YML配置列表及应用小结

《SpringBoot中的YML配置列表及应用小结》在SpringBoot中使用YAML进行列表的配置不仅简洁明了,还能提高代码的可读性和可维护性,:本文主要介绍SpringBoot中的YML配... 目录YAML列表的基础语法在Spring Boot中的应用从YAML读取列表列表中的复杂对象其他注意事项总