全触屏智能POS机测试

前言

最近接触了安卓系统POS机安全测试,总结下测试点

APP方面

  • 是否加固(代码混淆、so文件、二次打包)
  • 是否配置、缓存、日志、数据库敏感信息明文存储
  • 是否开启allowBackup
  • 是否开启Debuggable
  • 五大组件权限
  • 私有目录权限
  • 密码软键盘
  • 等等其他漏洞

    pos机终端

  • adb shell禁止root权限
  • 添加root密码
  • 禁止任意APP安装
  • 打印条脱敏
  • 打系统补丁

    web

  • 启用https
  • 数据加密
  • web常见漏洞
  • 中间件常见漏洞
  • 端口对应漏洞
  • 弱密码