0.3.3　移动应用测试

诸多机构均具备扩展攻击面的移动应用。移动应用通常依赖API在应用内部及支持服务器间传输数据。为确保API的安全性，可采用手动代码审计、自动化源代码分析及动态分析等方法进行测试。手动代码审计涉及对移动应用源代码的访问，以查找潜在漏洞。自动化源代码分析与之类似，但会借助自动化工具辅助寻找漏洞与奇特文件。动态分析则在应用运行时进行，包括拦截移动应用客户端API请求与服务器API响应，试图发现可利用的漏洞。