《移动互联网应用程序信息服务管理规定》明确要求，APP提供者和APP商店，不得利用APP危害国家安全、扰乱社会秩序、侵犯他人合法权益。

《网络安全法》规定：网络运营者不得泄露、篡改、毁损其收集的个人信息；末经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识別特定个人且不能复原的除外。

APP在正式上线之前，企业都会找专业的安全公司进行渗透测试，检测网站、APP是否存在漏洞以及安全隐患。

渗透测试是对网站、APP应用（android,ios）进行全面的安全检测与漏洞扫描，模拟攻击者的手法，切近实战，人工检查网站APP存在的漏洞，最后评估生成安全报告。渗透测试可以通过模拟黑客攻击对业务系统进行安全测试，比黑客更早发现可能导致企业数据泄露、资产损坏、数据篡改的漏洞，并协助企业进行修复。

移动app渗透测试步骤：

信息收集-漏洞验证/漏洞攻击-提权，权限维持-日志清理。

app渗透测试参考依据：

《中华人民共和国网络安全法》

《移动互联网应用程序信息服务管理规定》

《电子银行业务管理办法》

《电子银行安全评估指引》

GB/T34978-2017《信息安全技术 移动智能终端个人信息保护技术要求》

YD/T 1438-2006《数字移动台应用层软件功能要求和测试方法》

YD/T 2307-2011《数字移动通信终端通用功能技术要求和测试方法》

JR/T 0092-2012 《中国金融移动支付客户端技术规范》

JR/T 0095-2012 《中国金融移动支付应用安全规范》

《移动互联网应用软件安全评估大纲》

《OWASP Mobile TOP 10》