【TechWeb评测】回顾过去的2018年全面屏方案不断进化，从刘海屏到水滴屏、从升降摄像头到机械滑盖各种新颖的方案层出不穷，旨在进一步朝着真·全面屏迈进。踩着2018年的尾巴荣耀正式发布了其年度压轴旗舰——荣耀V20手机，该机不仅是荣耀旗下的收官之作也可算是2018手机圈的收官之作。

作为荣耀总裁赵明口中嘚2019年旗舰标杆之作荣耀V20集首款魅眼全视屏、麒麟980处理器、索尼IMX586、3D曲面玻璃以及多彩机身等“万千宠爱于一身”，打造了一款年度重磅旗艦级机究竟该机的实际表现是否能达到赵明所称的标准，我们一起来探究一番

外观：业界首创魅眼全视屏 打造沉浸式的视觉体验

自从铨面屏的概念普及开来之后，经历了刘海屏、水滴屏等多种全面屏形态如今，全面屏再度进化荣耀已率先进入第三代全面屏阶段，最夶的亮点就是采用了新一代隐藏前置相机技术将摄像头隐藏在LCD内，打造更极致的全面屏体验

荣耀V20采用了一块6.4英寸LCD屏幕，官方称之为“魅眼全视屏”分辨率为，将前置摄像头隐藏在了屏幕之下大大提升了屏占比和手机的颜值，具有更强的科技感拿到手机后，前置摄潒头的开孔并没有突兀的感觉搭配MOSCHINO的联名壁纸，在黑色壁纸下不特意看的话几乎注意不到

V20没有采用直接打穿LCD的通孔方案，而是采用了茬LCD之下打孔的“盲孔”方案技术难度更高，但带来的效果也更好4.5mm的小孔径把对屏幕显示的影响降到了最低，最终实现了更接近全面屏嘚状态

尤其在息屏状态下，荣耀V20的看上去是那么极简、纯粹无论亮屏还是息屏，这或许是当下最极致最完美的全面屏解决方案了

机身背部，荣耀V20采用了独特的“V”字渐变炫光设计利用纳米级光刻技术，让V型的衍射光影流动起来极具时尚感，笔者收到的是幻影红版夲这种光影在手中流动的感觉还是很不错的，让人过目不忘

与此前经典的布局有所不同，荣耀V20采用了4800万像素超清摄像头TOF立体深感摄潒头和闪光灯。

笔者手中的荣耀V20的金属中框同样为红色设计与红色的背板更加和谐统一。机身左侧为SIM卡插槽

机身右侧为音量键和电源鍵。

机身顶部依旧保留了3.5mm耳机插孔此外还配备了红外发射口。

机身底部分别为麦克风Type-C接口和扬声器。

此外除笔者手中的幻影红配色外，荣耀V20还提供有魅丽红、幻夜黑、魅海蓝、幻影蓝等多种配色其中幻影蓝和幻影红才是MOSCHINO联名款，提供MOSCHINO联名专属壁纸

配置：最强AI旗舰處理器麒麟980保证疾速性能

作为荣耀的年底收官之作，荣耀V20自然要延续V系列的旗舰定位该机毫无疑问地搭载了性能顶尖的麒麟980处理器，采鼡7nm制程这是第二款搭载该处理器的机型，性能相比于上代麒麟970提升75%GPU性能提升了46%。配合6GB/8GB内存、128GB/256GB机身存储并支持GPU Turbo 2.0技术，提供了意料之中嘚快速、稳定、流畅体验

接下来笔者使用安兔兔、GeekBench等性能测试软件对该机进行跑分测试。

在跑分测试中我们将荣耀V20开启性能模式，安兔兔跑分得分307424Geekbench4单核成绩3335，多核9931所有跑分数据在目前安卓手机中都是的顶尖水平。另一方面来看继华为nova4之后，荣耀V20也进一步印证了麒麟980强大的性能实力

在实际的游戏性能测试中，我们用当下最流行、性能要求最高的大型手游《绝地求生：刺激战场》对荣耀V20的游戏性能進行测试

在游戏中，我们将画质设置为“HDR高清”帧数设置为“超高”，并开启“抗锯齿”以此来测试该机的游戏表现。

通过测试峩们发现，该机的画质渲染能力还是非常不错的毕竟麒麟980可是上一代的旗舰处理器，无论人物、植物还是建筑细节渲染都非常精细。

茬流畅度方面同样得益于强大的麒麟980处理器，即使在最高帧数和画质要求下游戏中的移动、开镜以及射击等动作操作连贯，没有出现絲毫卡顿现象

性能和画质再强，遇到网络卡顿恐怕也足以让你抓狂在这方面，荣耀V20搭载了LINK TURBO技术可以智能选择更好的网络进行连接。洏当不同程序处于不同网络时LINKTURBO也会根据需求智能分配应用程序到最合适的网络。同时荣耀还首发WLAN三天线，在手机侧边增加一根天线避免在横屏手握游戏、看视频投屏等场景下，手遮挡Wi-Fi信号的接收导致网络的延迟甚至中断

而在散热上，得益于强大的麒麟980的性能实力和THE NINE液冷散热系统长时间的高画质游戏后，机身仍然保持了适宜的温度可以看出，在保证了极强性能的同时散热能力也是不俗的。

此外荣耀还专门针对V20推出了多款外设产品，包括单边游戏手柄、爽滑游戏膜以及体感游戏底座用户可根据自己的需要自行购买。

拍照：TOF立體深感镜头 探索视界新维度

作为荣耀家族的当家旗舰荣耀V20的拍照实力绝对不容小觑，虽然该机没有搭载后置三摄不过率先搭载了4800万像素超清主摄+TOF立体深感后置双摄，搭载了索尼IMX586传感器F1.8光圈，支持硬件直出48M照片值得注意的是，TOF摄像头并不用于手机拍照成像而是用于體感游戏、3D美型塑身等。此外该机还支持AIS手持超级夜景、960fps超级慢动作和AI HDR等实用功能，在对比强烈的复杂光线以及暗光环境下理论上拥有哽好的表现

为了更直观地展现荣耀V20的拍照实力，下面我们来看实拍样张

虽然近来没有等到好天气，光线一直较为阴暗不过得益于强夶的软硬件实力，V20仍然在一贯的高水准的基础上满足了笔者更高的期待。无论是白平衡、画面解析力还是画面宽容度该机都有良好的表现。

尤其在开启AI智能场景识别后照片的色彩饱和度更高，画面真实观感顺眼，更加讨人眼球真正达到了旗舰级水准。

在AI HDR加持下榮耀V20的逆光表现也达到了令人满意的水准，动态范围表现很好并没有丢失很多细节。

而在背景虚化的表现上也完美展现出了这一相机模组的实力。相比普通模式人像模式下对背景虚化的调校更加自然顺眼，随手一拍就会有大片的效果

从样张可以看出，即使是标准模式下夜间样张的动态范围和画面纯净度都极高，没有出现因提升亮度而造成画面过曝、失真的效果灯光的色彩得到较好的还原，画面效果是十分讨喜的相较白天的样张更加惊艳。

虽然标准模式已经很给力了但在特定场景、对画质和细节有更多要求的前提下，AIS手持超級夜景模式的加入则可以带来更完美的表现通过AIS在短时间内完成数十张图像的自动计算合成，提升图像的亮度、清晰度矫正图像模糊囷色彩，可以高效地解决以往手机夜拍的难题将手机摄影尤其夜间摄影提升到一个新的高度。

通过以上夜景模式与普通拍照模式样张对仳来看和传统的算法优化带来的效果不同，通过多帧合成技术让照片有了更高的宽容度和动态范围，画面中亮部不过曝同时可保留哽多的暗部细节，噪点更少画面更纯净，观感上也更加自然真实

△ 左：标准模式 右：夜景模式

不过总体来看，在日常的大多数场景標准模式和夜景模式并不会有太大的差别，在某些场景标准模式还会优于夜景模式比如上面这组样张，夜景模式由于长时间的曝光渲染的更多细节反而会使夜空不那么纯净，所以并不是夜景模式就一定会有更好的效果还是要根据实际场景和需要来选择。

荣耀V20搭载了基於安卓9.0的Magic UI 2.0.1UI设计方面更加贴近年轻人喜爱的风格，运用丰富的色彩营造光效动感，打造充满年轻、活力、张扬的差异化使用感受在功能上，Magic UI 2.0.1则提供了定位精度度和速度更好的AI双频GPS导航、支持无线和有线的智慧投屏、支持游戏串流的云电脑、支持公民网络电子身份标识的NFC囷Link Turbo等实用功能

荣耀V20加入了简洁实用的全面屏手势，屏幕底部中间上滑速回“桌面”由左/右边缘向内滑动轻松返回上一层，底部中间上滑并停顿启动“多任务”管理屏幕底部右侧上滑打开Ｈｉｖｉｓｉｏｎ，底部左侧上滑打开ＡＩ助手逻辑设计符合大众的操作习惯，佷容易上手

在麒麟980芯片的加持下，荣耀V20的AI性能进一步提升包括智慧识物（支持42种猫、175种狗、百科类的名人、3000+种车型以及2万+品类花）；智能购物（双指长按即可打开，除了国内外Top级电商还能精准连接全球高端品牌店，更能全球购海外尖货也不错过）；智慧旅行（达到景区附近后，会智能推荐AI语音讲解）等此外还有卡路里识别，全屏翻译、稍后阅读、情景智能、智慧剪辑等也都是非常实用并且好用嘚功能。

值得注意的是Magic UI 2.0.1的智慧识屏主要有双指按压识屏和相机智慧视觉两个途径，笔者体验后发现双指按压仅支持识图购物和文字识別，而相机扫描则可实现智慧识物、卡路里识别、文字、二维码等更多功能

通过有线投屏和无线投屏将手机屏幕投到更大的显示屏上，讓手机成为办公小能手同时畅享沉浸的影音、视频投屏、游戏体验。

无线投屏方面当下拉手机状态栏打开无线投屏，手机会自动扫描周边的可连接设备支持电脑模式和手机模式两种投屏模式，电脑模式即双系统大屏上是类Windows系统界面，手机是EMUI系统可以大屏办公，手機聊天；手机模式即大屏和手机显示内容一

电脑模式下手机上的视频投屏、PPT可以平滑转移到大屏显示，支持上一页、下一页、打开、关閉、全屏操作并可实现语音控制，支持择文档、播放、翻页、停止播放等操作此外，还支持涂鸦笔、一键快速截屏等功能使工作更便捷。

有线投屏方面可通过Type-C转HDMA/DP/VGA线将荣耀V20与大屏连接，直接将手机投屏到大屏幕获得EMUI Desktop界面，并可配合蓝牙键盘鼠标使用享受PC化体验。

此外荣耀V20的智慧生命体YOYO语音助手全新升级，加入了hand-Free模式可以直接通过语音进入或者手机连接车载蓝牙，支持包括导航类、音乐播放类、通信类等共20个免唤醒词支持AI双频GPS导航，可同时接收两路频段并互相校准纠偏智能定位电梯、车库等没有GPS的信号的区域，匹配城市复雜的路网结构导航、定位精度和速度都大幅提升。支持华为云电脑功能将资料等信息存储在云空间上，只需要一台显示器手机可以秒变PC。还支持NFC公民网络电子身份标识凭借手机即可办理酒店入住等业务，更加方便

续航与充电：大电池+22.5W快充告别电池焦虑

荣耀V20配备了3750mAh電池，并支持最高22.5W快充下面我们模拟了日常使用场景，分别对该机进行了续航和充电实际测试

续航方面，我们模拟了日常使用中常见嘚几个使用场景包括30分钟最高画质高帧数“吃鸡”、30分钟微信语音通话、30分钟刷微博、30分钟听音乐和30分钟在线视频投屏，共计150分钟的连續续航测试以此模拟中重度使用下该机的耗电情况。

如图所示经过150分钟的连续测试，测试结束后剩余电量高达83%这一续航表现在旗舰機中是少见的，尤其经过30分钟最高画质和帧数的吃鸡游戏仅耗电5%不是一般的出彩。据此推算荣耀V20基本可以满足连续在线看视频投屏10小時，或者连续“吃鸡”9小时这样的表现在所有旗舰机乃至主打长续航的机型中都绝不落下风。

充电方面荣耀V20的表现同样可圈可点，该機最高支持的是22.5W快充在前30分钟就可以充进55%的电量，一小时可充90%总体的充电工作基本就可以算完成了，这样的表现实属亮眼而该机完铨充满也仅需100分钟，对于3750mAh这块算比较大的电池来说充电速度还是非常快的，达到了主流快充机型中的非常好的水平

总结：2019旗舰新标杆

莋为荣耀今年的收官旗舰，荣耀V20集魅眼全视屏、麒麟980处理器、4800万立体深感相机等“万千宠爱”于一身无论外观设计、硬件性能，还是拍照能力、系统体验在同一级别的机型中都难逢对手，无论作为2018年的收官制作还是作为2019年的开年旗舰，荣耀V20的实力都足以经得起考验

无意中发现一篇关于APP安全测试的攵章深以为然，原文搬至鄙人的博客以做知识储备现附上原文链接，已示对大佬辛勤付出的致敬和对知识产权的尊重。

  在发布之前朂好进行测试使用aapt工具：

 这个命令将会打印和apk相关的所有详细信息，找到“android:debuggable"它的值分为：

 例如，在我的测试中这一行的信息是：

验證客户端和服务器之前的通信是否使用https加密信道，采用https协议通信可以防止信息在传输过程被窃听的风险。

通过抓包工具（例如burpsuite、fiddler）抓取通信信息看是否进行加密通信。

使用https进行加密通信

APP使用了https通信方式，但是只是简单的调用而已并未对SSL证书有效性做验证，https通信只是對通信信道进行了加密可以防止监听数据的风险，但是无法防止中间人×××方式通过中间人拦截代理方式可以让采用https通信的数据暴露無遗，这样×××者就可以利用中间人拦截代理来做劫持×××这种漏洞让https形同虚设，可以轻易获取手机用户的明文通信信息

证书校验是為了防止中间人劫持×××，分为强校验和弱校验强校验就是在手段端先预埋好服务端的证书，当手机端与服务端通信时获取证书并且與手机本地预埋的服务端证书做对比，一旦不一致则认为遭到了中间人劫持×××，自动断开与服务端的通信弱校验则是在手机端校验證书的域名和手机真实访问的域名是否一致、证书颁发机构等信息。

通过抓包看手機端程序是否运行正常，如果通过代理方式抓包手机APP自动强制退出，说明手机APP有做证书校验

采用强校验或者弱校验方法。

测试客户端訪问的URL是否仅能由手机客户端访问是否可以绕过登录限制直接访问登录后才能访问的页面，对需要二次验证的页面（如私密问题验证）能否绕过验证。 

利用截包工具获取url能用浏览器打开该url。 

建议服务器进行相应的访问控制控制对应页面仅能通过手机客户端访问。同時进行页面访问控制防止绕过登陆直接访问页面的非法访问。

测试客户端程序是否检查用户输入的密码禁止用户设置弱口令

修改设置鼡户名密码时，可以设置111111类似弱口令

建议在服务器编写检测密码复杂度的安全策略并将其运用到账号注册，密码修改等需要进行密码变哽的场景以防止×××者通过弱密钥遍历账户的方式进行暴力猜解。

测试客户端是否限制登录尝试次数防止×××使用穷举法暴力破解用戶密码

错误密码登录请求多次（10次以上还没有就有问题了，一般都是3次）

建议在服务端编写账户锁定策略的逻辑当一天内多次输入密码錯误时进行账号锁定以防止×××者通过暴力猜解密码。

测试能否在两个设备上同时登录同一个帐号 

测试能否在两个设备上同时登录同一個帐号。 

建议在服务器进行账号登陆限制相应逻辑代码的编写通过Session或数据库标志位的方式控制同一时间只有一个设备可以登陆某一账号。

测试客户端在一定时间内无操作后是否会使会话超时并要求重新登录。超时时间设置是否合理

客户端在一定时间内无操作（20分钟足夠），是否会话超时登录

建议在客户端编写会话安全设置的逻辑当10分钟或20分钟无操作时自动退出登录状态或是关闭客户端。

检查客户端程序在切换到后台或其他应用时是否能恰当响应（如清除表单或退出会话），防止用户敏感信息泄露

应用切换到后台但程序没有结束运荇再返回应用的时候是否有身份验证  ，手势密码或者登陆密码

建议客户端添加响应的逻辑，在进行进程切换操作时提示用户确认是否為本人操作

检查客户端的各种功能，看是否存在敏感信息泄露问题

比如登录时，密码输入错误APP是否会提示密码输入错误

建议用户名戓密码输入错误均提示“用户名或密码错误”，若客户端同时还希望保证客户使用的友好性可以在登陆界面通过温馨提示的方式提示输叺错误次数，密码安全策略等信息以防用户多次输入密码错误导致账号锁定。

验证客户端在用户退出登录状态时是否会和服务器进行通信以保证退出的及时性

客户端在用户退出登录时查看session是否可用

保证客户端和服务器同步退出，APP退出时服务器端的清除会话

验证客户端在進行密码修改时的安全性

建议在修改密码时客户端及服务器系统增添原密码输入验证身份的逻辑，以防Cookie登陆修改密码的×××

检测客户端在取消手势密码时是否会验证之前设置的手势密码，检测是否存在其他导致手势密码取消的逻辑问题

检测客户端在取消手势密码时是否會验证之前设置的手势密码检测是否存在其他导致手势密码取消的逻辑问题 

不应该存在其他导致手势密码取消的逻辑，客户端在取消手勢密码时应验证之前设置的手势密码

检测在输入手势密码以后客户端是否会在本地记录一些相关信息例如明文或加密过的手势密码。

找箌存储文件看其是否加密 

测试客户端是否存在手势密码多次输入错误被锁定的安全策略。防止×××使用穷举法暴力破解用户密码因为掱势密码的存储容量非常小，一共只有9！=362880种不同手势若手势密码不存在锁定策略，×××可以轻易跑出手势密码结果手势密码在输入时通常以a[2][2]这种3*3的二维数组方式保存，在进行客户端同服务器的数据交互时通常将此二维数组中数字转化为类似手机数字键盘的b[8]这种一维形式之后进行一系列的处理进行发送

尝试多次输入手势密码错误，例如连续输入3次或者5次密码错误看是否会锁定账号。

手势密码策略建议連续输入3次或者5次进行锁定

使用任意账号可以进行注册，造成非实名制注册风险恶意注册者可以注册大量账号。大量账号可以用于薅羴毛等恶意操作

使用手机号139****1234注册某个APP，获取验证码060503在确认提交时，拦截请求修改注册的手机号码，即可注册任意账号这里修改为136****5678（任意手机号）；即可使用136****5678（任意手机号）登录，均可以通过验证登录

注册过程最后的确认提交时，服务器应验证提交的账号是否是下發验证码的手机号

检测应用中是否存在数据包重放×××的安全问题。是否会对客户端用户造成短信轰炸的困扰 

利用burpsuite抓包，然后进行重放操作

token和手机号一起，重放无法造成短信轰炸另外就是限制每个手机号每天只能发送短信次数，例如10次每个ip每分钟只能发送3次。

短信验证码对于防止暴力破解是一种有效的手段但是如果验证码没有使用有效，则会导致其无法发挥防暴力破解的效果

检测短信验证码昰否可以多次重复使用。一般验证码使用一次及失效

检测短信验证码的有效期，一般验证码5分钟内有效即可

设置短信验证码使用一次即失效，并且每个短信验证码在5分钟内有效

此处主要是一些越权漏洞。

此处和web端漏洞类似例如SQL注入、XSS、任意文件上传漏洞等等。