标准规范下载简介
YD/T 3228-2017 移动应用软件安全评估方法YD/T3228—2017 6.2.4.9通话监听
YD/T3228—2017
6.2.4.11用户数据收集
6.2.4.11用户数据收
DB37/T 3363-2018 装配式钢结构住宅-H型钢梁通用技术要求YD/T32282017
YD/T32282017
在步骤2后,如果应用软件在进行相关行为前,明示了用户,且用户可以有效确认或拒绝,则该项目评估结果为“未 见异常”,评估结束; 在步骤2后,如果应用软件在进行相关行为前,未明示用户,或明示了用户,但用户不可有效拒绝,则该项目评估 结果为“不符合要求”。评估结束
6.2.5信息内容安全
6.2.5信息内容安全
YD/T32282017
YD/T 32282017
在满足6.2要求的基础上,还应满足以下要求。
6.3.1应用软件管理
6.3.1.1安装位置
6.3.1.1安装位置
6.3.1.2完全卸载
5.3.1.2完全卸载
YD/T32282017
6.3.1.3 参数配置
YD/T3228—2017
YD/T3228—2017
6.3.1.4访问控制
6.3.1.5 升级行为
6.3.1.6签名有效性
YD/T32282017
6.3.2用户数据调用
6.3.2用户数据调用
6.3.2.1其他移动应用数据调用
在满足6.3要求的基础上,还应满足以下要求。
YD/T3228—2017
6.4.1应用软件管理
6.4.1.1捆绑安装
6.4.1.1捆绑安装
6.4.1.2自启动管理
6.4.1.3 流氓行为
YD/T3228—2017
YD/T3228—2017 否则为“不符合要求”
YD/T32282017
6.4.1.4退出机制
6.4.1.5 组件安全
6.4.1.5组件安全
6.4.1.6推送行为
YD/T3228—2017
6.4.1.7数据安全
6.4.17数据安全
YD/T 32282017
YD/T 32282017
在步骤2后,如果应用软件可执行用户数据的彻底删除操作,则该项目评估结果为“未见异常”;否则为 要求”; 在步骤4后,对两次读出的数据进行相似性比较,如果比较结果为“不一致”,则该项目评估结果为“未」 否则为“不符合要求”。评估结束
6.4.1.8广告安全
6.4.1.8广告安全
6.4.1.9第三方模块安全
6.4.1.9第三方模块安全
YD/T32282017
预期结果: 在步骤2后,如果未在数据库中发现第三方模块安全问题,则该项目评估结果为“未见异常”;否则为“不符合要 求”;评估结束。
如果未在数据库中发现第三方模块安全问题,则该项目评估结果为“未见异常”;否则为“不符合要
6.4.2业务功能调用
6.4.2业务功能调用
6.4.2.1录错误提示
6.4.2.2录次数限制
6.4.3用户数据调用
6.4.3.1系统数据调用
6.4.3.1系统数据调用
YD/T 32282017
YD/T 32282017
在步骤2后,如果应用软件未发生读取系统数据行为,则该项目评估结果为“未见异常”,评估结束; 在步骤2后,如果应用软件在读取系统数据前明示了用户,且用户可以有效确认或拒绝,则该项目评估结果为“ 常”,评估结束: 在步骤2后,如果应用软件在读取系统数据前未明示用户,或明示了用户,但用户不可有效拒绝,则该项目评估 “不符合要求”。评估结束
在满足6.4要求的基础上,还应满足以下要求。
6.5.1应用软件管理
6.5.1应用软件管理
6.5.1.1反编译防护
6.5.1.1反编译防护
6.5.1.2反盗版防护
6.5.1.3反动态调试
6.5.1.4反代码注入
YD/32282017
6.5.1.5权限滥用
6.5.1.6 抗重放攻击
6.5.1.7服务器证书验证
6.5.1.7服务器证书验证
YD/T32282017
YD/T32282017
结果: 在步骤2后,如果被测应用软件未使用HTTPS协议进行通信,则该项目评估结果为“不符合要求”,评估结束 在步骤3后,如果被测应用软件服务器端提供的证书有效,且证书中主机名与实际服务器主机名一致,则该项目 果为“未见异常”;否则为“不符合要求”。评估结束
6.5.2漏洞分析验证
6.5.2漏洞分析验证
6.5.3业务功能调用
6.5.3.1身份认证机制
6.5.4用户数据调用
6.5.4.1支付安全
YD/T32282017
YD/T32282017
在步骤2后,如果信息一致,则该项目评估结果为“未见异常”;否则为“不符合要求”; 在步骤3后,如果支付过程采用加密通讯,支付过程提示用户输入密码,则该项目评估结果为“未见异常”;否 不符合要求”。评估结束
6.5.4.2安装包数据安全
在满足6.5要求的基础上,还应满足以下要求
6.6.1应用软件管理
6.6.1.1数据安全
YD/T3228—2017
6.6.1.2反模拟器运行
6.6.2漏洞分析验证
6.6.2漏洞分析验证
6.6.3业务功能调用
6.6.3业务功能调用
3.1重要函数逻辑安全
6.6.3.2 开源代码安全
TB/10415-2018_铁路桥涵工程施工质量验收标准YD/T32282017
评估步骤: 步骤1:阅读应用设计文档和开发文档,明确开源代码的功能及其重要性; 步骤2:利用开源代码安全数据库,对应用中包含的开源代码进行安全性评估 预期结果: 在步骤2后,开源代码并无明显安全问题,则该项目评估结果为“未见异常”
6.6.3.3密码安全
6.6.3.4安全键盘
6.6.4用户数据调用
6.6.4.1源代码数据安全
YD/T32282017
在步骤2后,如果移动应用软件源代码对包含的敏感信息进行加密处理TB 10761-2013 高速铁路工程动态验收技术规范,则该项目评估结果为“未见异常”,否 “不符合要求”。评估结束