随着运营商新技术新业务的发展，运营商集团层面对安全的要求有所变化，渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战。随着运营商自主开发的移动APP越来越多，这些APP可能并不会通过应用市场审核及发布，其中的安全性将面临越来越多的挑战。
这个问题也引起了运营商的足够重视，已经自主开发了自动化检测工具及定期的APP安全测试评估工作。在此，绿盟科技博客特别邀请到移动APP安全测试专家，让他们结合一次A
droidAPP安全测试实例，为大家讲解评估特点，并将评估检查点、评估细节和整改建议一一列出，给大家提供移动终端APP安全测试的思路。评估思路移动APP面临的威胁风起云涌的高科技时代，随着智能手机和iPad等移动终端设备的普及，人们逐渐习惯了使用应用客户端上网的方式，而智能终端的普及不仅推动了移动互联网的发展，也带来了移动应用的爆炸式增长。在海量的应用中，APP可能会面临如下威胁：
新技术新业务移动APP评估思路在这次的移动APP安全测试实例中，工作小组主要通过如下7个方向，进行移动终端APP安全评估：
运营商自动化APP测评思路
爱加密，专业APP加密保护平台
f运营商自主开发的自动化APP安全检测工具，通过”地、集、省”三级机构协作的方式，来完成移动终端APP安全检测与评估。APP测试思路如下：
安全检测要点Allowbackup漏洞A
droidMa
ifestxml文件中allowBackup属性值被设置为true。当allowBackup标志为true时，用户可通过adbbackup来进行对应用数据的备份，在无root的情况下可以导出应用中存储的所有数据，造成用户数据的严重泄露。
错误
整改建议将参数a
droidallowBackup属性设置为false，不能对应用数据备份。WebView漏洞应用中存在WebView漏洞，没有对注册JAVA类的方法调用进行限制，导致攻击者可以利用反射机制调用未注册的其他任何JAVA类，最终导致javascript代码对设备进行任意攻击。
错误
爱加密，专业APP加密保护平台
f整改建议通过在Java的远程方法上面声明一个JavascriptI
terface来代替addjavascriptI
terface；在使用js2java的bridge时候，需要对每个传入的参数进行验证，屏蔽攻击代码；Note：控制相关权限或者尽可能不要使用js2java的bridge。关键数据明文传输应用程序在登录过程中，使用http协议明文传输用户名和密码，并未对用户名和r