1.安全测试
1.1 安全测试分析
木马 | 病毒 | 篡改 | 破解 | 钓鱼 |
二次打包 | 账号窃取 | 资源篡改 | 广告植入 | 信息劫持 |
1.2 安全分析
客户端 | 数据传输 | 服务端 |
|
|
|
app的安全主要从:
- 客户端安全
- 通信安全
- 服务端的安全
测试开展---反编译
我们一般想要反编译一个apk,无非就想获得三样东西:图片资源、XML资源、代码资源
- 图片资源获取:apk->把后缀改成zip->在res目录->获取我们需要的图片
- XML资源获取:
- 打开的zip文件->.xml的文件->尝试打开->乱码或者空白;
- 借助一个jar包 axmprinter2.jar, xml放在同级目录下;
- 进入cmd->找到这个目录,如:java -jar AXMLPrinter2.jar xxxx.xml>xxxx.txt
- 代码资源获取
- 一般情况下能正确反编译出来的只有未加密或者没有混淆的代码
- 解决:dex2jar.rar和jd-gui.zip这两个工具
- dex2har主要是用来把之前zip解压出来的classes.dex转成jar包的
- jd-gui主要是用来打开jar包
- dex2jar用法:
- 把dex2jar解压后,然后将之前zip的classes.dex放到dex2jar目录下
- 注意,必须跟dex2jar.bat是同级目录
- 然后你的目录会多一个jar包,classes-dex2jar.jar的文件
- 然后再用jd-gui把jar打开,最终apk的代码就被剥离出来了
- 开发:采用加密和混淆技术达到反编译保护。
测试开展--二次打包
2.H5测试
2.1 H5优劣势
- 优势
- H5可以跨平台使用,开发成本相对较低
- H5可随时上线就更新版本,适合快速迭代
- H5可以轻量的触达用户,提供更便捷的服务
- 在微信入口或者浏览器上,用户只需点开链接就可以获取我们所提供的服务
- 劣势
- H5>app的转化强依赖于浏览器
- H5目前基本无法将数据存储在本地,依赖实时数据,网络状态不好的时候卡到哭
- 性能相对较低,影响用户体验
2.2 H5功能验证
- 通过H5网页(非手机的返回功能)的返回功能可以返回,不会出现无法返回的情况
返回逻辑
- 对于页面中的返回,以及浏览器自带的返回的测试。页面中的返回要考虑业务逻辑,友好返回到相应层次,需要从用户角度返回的转跳逻辑不能出现死循环。并要注意返回后是否需要刷新页面请求通过H5页面(非手机自带返回键)的返回功能键返回,可以返回到正确的页面(上一级/退出H5)点击返回与back键,回退页面是否是期望页面。
-
横屏竖屏相互切换,能自适应,并且布局不会乱掉;或页面只支持横或竖屏限制。
扫描二维码关注公众号,回复: 8936685 查看本文章 -
在手机上从1ist点击进入deta页面,要在原窗口打开,这样可以通过页头的返回按钮返回,而不需要通过手机的返回键返回,这样交互上更友好。
-
关注页面请求,是否会有多余的请求,或者请求后有多余的数据返回,尽量精简,否则会浪费流量。
图片适配测试,根据不同屏幕和分辨率做适配,以及适配后的清晰度,高端机取双倍尺寸的图一app兼容测试
2.3 适配相关
- H5的适配其实比客户端的相对来说,要少一些,手机品牌之间的差异不大,所以不用太多关注,最容易出现问题的是Android2.3系统
- H5的页面在PC端也是能访问的,Chrome对H5支持最好,功能的测试可以再PC端Chrome下先测试,也可以在手机上直接测试
- 手指滑动是否流畅,手指点击是焦点是否定位准确,不同机型会不一样。焦点点击是否灵敏。
- 手机测试要特别关注交互是否友好,与PC机的事件模型不一样,可能拖动后是否会导致一些体验的问题,比如:弹出层的点击,是否会穿透,影响到弹出层下面的页面。
- 对于一些浮层做的页面,例如地图、产品分类等浮层,注意拖动后是否可以看到它下面的页面,拖动后边缘是否有留白。
- 网络切换:从wifi切换到2G/3G网络、从2G/3G网络切换到wifi等
- 弱网络降级:处于2G/3G网络省流量模式的一些特殊处理,比如2G网络下测试,图片多时是否要懒加载等。网络状况差的场景,可提示文案,但不能闪退。