所谓移动设备利用的灰盒测试是指，将传统的源代码查抄(白盒测试)与前期测试(黑盒测试)连络起来的一种手艺。测试人员必需查抄利用法度的代码库，审查关头功能代码，审查常见的弊端编码或不法编码编制。别的，测试人员还可以履行黑盒测试来审查利用，并按照所确认的缝隙定位找到代码库中的方针代码。

　　为甚么要履行移动利用的灰盒测试与评估呢?谜底很简单：找到高风险代码;确认缝隙的根来历根底因。

　　灰盒测试该当遵守以下三大年夜步调：

　　1、威胁建模

　　威胁建模可使测试团队起首确认有可能对移动利用产生最大年夜影响的威胁。测试人员在这个阶段的首要目标是辨别特定利用组件或代码的优先挨次。测试团队经由过程理解利用法度架构的文档资料，该当逐步熟知移动利用的根基架构和利用环境。

　　汇集信息

　　经由过程与移动利用的开辟团队协作，测试团队该当获得有助于帮忙其理解移动利用的设计和功能的文档资料。这些文档资猜中所描述的细节，可觉得威胁建模过程中的所有步调供给根本。

　　履行窥伺和利用映照

　　理解移动利用若何实现其功能对成立移动利用模型相当首要。在此阶段，测试团队该当人工查抄移动利用的实例。然后，团队该当查抄移动利用的匿名部门和认证部门，同时存眷措置敏感数据和功能的部门。在此阶段，要供给架构、建设、过程、用户、手艺等各方面的证实文件，以利于下一阶段的利用。

　　需要重点存眷并用于下一阶段针对性测试的方面有：治理界面、敏感信息的传输、外部或第三方利用的接口、移动和谈(如SMS、MMS、WAP等)的利用。

　　测试团队该当记其实此期间的每种要乞降响应，以便于利用本地代办署理东西和收集嗅探东西进行往后阐发。

　　定义系统和可托鸿沟

　　在查抄的下一阶段，评估团队该当构建一个移动利用及数据流程图中的系列过程的可视化模型。数据流程图要确认系统鸿沟和环绕移动利用的每个组件的可托鸿沟。确认系统鸿沟可使测试团队初步明白数据流进或流出系统或其组件(即数据进口和出口点)的所有位置。随后，在代码查抄阶段，测试团队该当查验在每个系统鸿沟是不是履行了恰当的验证和编码手艺。与此近似，肯定可托鸿沟可以查明测试团队可以或许查验代码中的认证和授权部门。

　　将威胁映照到功能

　　在定义了所有的流程图要素后，测试团队该当将所有要素映照到资产威胁，其目标在于定义移动利用中的“热点”，进而可以构建一个测试打算。在针对性的代码查抄阶段，测试团队该当周全测试打算中的每个项目。