跳过内容

MASTG-TEST-0242: 网络安全配置中缺少证书绑定

概述

应用程序可以配置使用网络安全配置的证书锁定。对于每个域名,可以锁定一个或多个摘要。

此测试的目标是检查应用程序是否未使用 NSC 实现证书锁定。但是,请注意,应用程序可能使用其他测试中涵盖的其他锁定方法。

步骤

  1. 逆向工程应用程序( 反编译 Java 代码)。
  2. 获取 AndroidManifest.xml( 从 AndroidManifest 获取信息),并检查是否在 <application> 标签中设置了 networkSecurityConfig
  3. 检查引用的网络安全配置文件,并从 <domain-config> 中提取所有具有 pin 设置的域名(<pin-set>)。

观察

输出应包含启用证书锁定的域名列表。

评估

如果未设置 networkSecurityConfig,或者任何相关域名未启用证书锁定,则测试用例失败。