精华内容
下载资源
问答
  • app安全

    2016-06-06 16:40:50
    介绍总结一下app安全方面  1.数据的安全  1).在app的访问请求数据中,一般是通过httpClient,UrlConnnection来从服务器端获取数据的,这么做在平常看来是没有问题的,  但是,我们可以通过工具去抓取这些传输过程中...
    介绍总结一下app安全方面
        1.数据的安全
            1).在app的访问请求数据中,一般是通过httpClient,UrlConnnection来从服务器端获取数据的,这么做在平常看来是没有问题的,
            但是,我们可以通过工具去抓取这些传输过程中的信息.这么做的后果是:传输过程中的所有数据全部都暴露在我们面前了.
            
               解决的方法:
               1).加密
                    在数据传输前,通过加密算法对数据进行加密,服务器或者客户端在接收到数据的时候,通过解密方法,解密.
                    常用的加密算法:MD5,DES,AES
                    其中要说明的是:通过MD5加密的一般会放置到服务器,并不会拿着这个串去来回传递,因为MD5加密是非可逆的加密.
                    DES:非对称加密
                    AES:对称加密
                    
                    另:有人用到了Base64,要说明一下,Base64的原理相当于对字符串进行了混淆,非常容易的就会拿到混淆前的字段.
                    
                2).我们可以抓取的数据,是在传输层传输的数据,那想办法在传输层做保障的话,就要用到了https,
                    原理:
                        https的根源仍然是加密,通过服务器端的证书和客户端的证书安全握手后,才能拿到数据.https要保证有效性,就一定要验证证书,
                        在实际开发中,可能因为某些原因,在客户端设置了过滤所有证书.那么,一旦这么做之后,我们就可以通过在手机上设置代理证书,来
                        抓取传输层的数据.
                        
         2).代码的安全
               1).安全性在于,别人可以通过反编译去拿到你的源代码,并通过修改以及二次打包,窃取或者对你的应用造成极坏的影响.
                   
                   解决方案:
                    1).代码混淆
                        通过google提供的混淆工具,对app中的类名,方法名进行混淆.
                        优点:
                            对代码的可阅读性提高难度
                            
                        缺点:
                            仅仅是增加了代码的阅读性的难度,并没有真正的实现代码的安全.
                      
                     2).市面上常用的加固
                        可以在一定程度上保证了app的代码安全,常见的一下代码反编译工具,无法对加固的应用进行反编译.
                        
                        app应用的加固原理:
                            原理仍然是通过一定的加密算法,对app的资源文件进行加密.
                            1.对你的app进行反编译为.dex文件,然后通过加密对资源文件进行加密;
                            2.开启一个解密的app,然后把两个app通过工具整合成一个app文件;
                            3.对新生成的app进行签名;
                            
                            app的启动原理:

                                通过解码后,真正的创建app的页面.



    展开全文
  • 作为专业的移动互联网APP安全服务提供商爱加密来说,很早就开始着手于APP安全领域,为开发者们提供安全检测、应用保护、渠道检测等专业服务,全方位的保护APP安全,防止盗版、山寨、二次打包、注入恶意代码等现象的...
           针对智能手机的恶意软件早在几年前就已经出现了,不过直到2012年,手机安全问题才忽然成为了大众谈论的焦点。作为专业的移动互联网APP安全服务提供商爱加密来说,很早就开始着手于APP安全领域,为开发者们提供安全检测、应用保护、渠道检测等专业服务,全方位的保护APP安全,防止盗版、山寨、二次打包、注入恶意代码等现象的出现。
           据了解,打包党通过APP应用存在的漏洞进行破解打包,形成山寨产品,流入市场给用户和开发者造成利益损害。我们所了解的Android应用程序存在的漏洞主要有:源代码存在被反编译的危险、资源文件存在被窃取的风险、APK签名存在被修改的风险、APK存在被注入后门程序的风险、XML主配置文件存在被静态注入的风险等。
    爱加密提供的安全检测平台则为APP的安全漏洞分析提供了方便。现以爱加密为例子,对在线漏洞检测进行简单的分析:
    爱加密在线漏洞检测
           APP开发人员只需在爱加密安全检测平台上传一个APK包,即可进行漏洞分析,检测内容有:检测APK的DEX文件、资源文件、SO库文件、主配文件是否加密,DEX源码是否混淆,是否进行了签名校验防止二次打包。其中:DEX文件、资源文件、SO库文件、主配文件是否加密是指:以上文件是否为Android原生文件,是否进行了加密处理,以及检测以上文件的安全系数。
           爱加密对APK包进行精准的安全检测分析,极大的节省了APP开发人员自身对APP漏洞分析投入的时间、精力。之后可对APP提供一个全方位的加密保护服务并进行实时的渠道监测和信息反馈。开发者只需上传一个应用APK包,其他所有操作均由系统和爱加密工作人员完成。加密后可防止被反编译,嵌入病毒、恶意扣费SDK、广告SDK等,防止被非法汉化,将安卓漏洞风险降为零。对DEX文件、资源文件、主配文件、防二次打包、so库文件(核心代码)进行全方位保护,把静态破解和动态破解拒之门外,使源代码和应用坚不可摧。
           爱加密(
    www.ijiami.cn)推出的APP加密保护服务,通过一系列简单有效的操作流程解决了开发者的应用被破解的问题,不仅保护开发者和广大用户的利益,同时强力遏制了打包党的不良行为,为净化整个APP市场,打造一个绿色的APP生态链做出了最有意义的表率。
    展开全文
  • APP 安全机制

    2018-08-18 02:03:00
    APP安全机制(一)—— 几种和安全性有关的情况APP安全机制(二)—— 使用Reveal查看任意APP的UIAPP安全机制(三)—— Base64加密APP安全机制(四)—— MD5加密APP安全机制(五)—— 对称加密APP安全机制(六)...
    展开全文
  • Android app 安全

    2018-04-27 11:10:19
    App安全 从一款被篡改的软件谈 Android App 的安全之路 《Android攻防实战》读书笔记——保护App安全 安全问题 APP安全问题 反编译 APK反编译 apk加固 Apk源码的加固(加壳)原理解析和实现 ...

    App安全

    安全问题

    APP安全问题

    反编译

    apk加固

    这里写图片描述

    小结

    app安全

    • AndroidMenifest.xml文件加固
      • 应用签名未校验风险:检测 App 程序启动时是否校验签名证书。
      • 应用数据任意备份风险:设置:application中android:allowBackup=false
      • Java 层动态调试风险:设置:application中android:debuggable=”false”
      • 组件导出风险:设置:receiver或service、activity中android:exported=”false”
    • 代码层面上强制进行权限检查
      • 全局可读写的内部文件漏洞
        • 使用MODE_PRIVATE模式创建内部存储文件
        • 加密存储敏感数据
        • 避免在文件中存储明文和敏感信息
      • 防御SQL注入攻击
    • 通过检测安装程序、模拟器、调试标志位反逆向
    • 用ProGuard 删除所有日志信息
    • 用收费的GexGuard进行高级代码混淆

    apk加固

    • apk + 加壳dex合并形成新的dex;然后加壳apk 和新的dex 生成新的apk
    • 加载新Apk时,找到解密之后的源Apk
      • 创建AssetManager放置源apk的资源
      • 通过动态加载机制将加壳程序的ClassLoader替换成他的子ClassLoaderPath
      • 在Application的onCreate()中替换LoadApk以及ActivityThread中的Application
    展开全文
  • 移动终端APP安全防护规范及安全开放标准解决方案。 包含:APP应用上线前安全评估原则、APP客户端安全功能要求、开发环境安全管理 、源代码的安全管理、委外开发安全要求等。
  • APP安全测评

    千次阅读 2017-02-07 10:03:27
    APP安全测评checklist
  • Android APP安全测试

    2019-02-13 17:10:41
    Android APP安全测试
  • App安全之网络传输安全

    千次阅读 2017-02-17 18:08:22
    App安全之网络传输安全 移动端App安全如果按CS结构来划分的话,主要涉及客户端本身数据安全,Client到Server网络传输的安全,客户端本身安全又包括代码安全和数据存储安全。所以当我们谈论App安全问题的时候...
  • 移动APP安全

    千次阅读 2016-07-04 15:59:04
    1.评估思路移动APP面临的威胁 风起云涌的高科技时代,随着智能手机和iPad等移动终端设备...新技术新业务移动APP评估思路 移动APP安全测试实例中,主要通过如下7个方向,进行移动终端APP安全评估: 运营商自动化APP测评
  • APP安全测试总结

    千次阅读 2018-05-16 11:42:57
    收集整理网上的资料以及自己测试过程中遇到的问题前言APP 安全一直是开发者头痛的事情,越来越多的安全漏洞,使得开发者越来越重视app安全,目前app安全主要有由以下几部分APP组件安全Android 包括四大组件:...
  • App安全之网络传输安全问题

    千次阅读 2016-09-29 15:22:26
    App安全之网络传输安全问题 字数4865 阅读132 评论1 喜欢1 App安全之网络传输安全问题 移动端App安全如果按CS结构来划分的话,主要涉及客户端本身数据安全,Client到Server网络传输的安全,客户端本身...
  • Android APP安全测试Checklist

    万次阅读 2016-12-08 09:02:59
    前言此文档旨在大家提供Android平台APP安全风险与漏洞相关的一般性Checklist,保障安全评估测试的基础质量与效率。配置安全发布状态检查该类漏洞的审查场景:发布的代码未启用代码混淆、未关闭调试模式、未关闭不必...
  • 移动APP安全测试

    2019-05-10 19:02:15
    移动APP安全测试 https://www.cnblogs.com/yinlili/p/9883189.html
  • 常见App安全问题

    千次阅读 2018-06-02 10:32:07
    常见的 App 安全问题据2015年第三季度移动安全报告显示,Android 16个行业 TOP 10 应用漏洞类别和数量中,Webview远程代码执行占到了第一位,第二位是Webview文明存储密码。这些领域涵盖大家平时工作领域,我们所...
  • Android_App安全测试

    2020-02-04 20:46:26
    基于Android系统开源的属性,且应用市场对App的审核力度较为宽泛,导致App漏洞较多,安全重视程度不够。因Android apk安装包未加固是导致反... PS:如果想快速测试某App安全性,推荐使用阿里云MQC、网易易盾等。 ...
  • 安卓APP安全测试维度

    2020-05-03 18:21:23
    本文从大方向上介绍安卓APP安全测试维度,安卓安全测试一般从客户端、服务端和通信过程三个大方向入手
  • APP安全测试小技巧

    2020-03-27 18:53:17
    APP安全测试小技巧---证书校验绕过 随着移动互联网的快速发展,很多业务已转移到移动端进行运营,随之而来的就是移动端的安全问题,在早期移动互联网刚刚兴起的时候,很多APP没有重视安全问题,故而没有进行一定的...
  • APP安全漏洞学习笔记

    千次阅读 2016-12-28 21:46:16
    APP安全漏洞学习笔记 本文首先明确了APP安全的目标,然后对常见的APP漏洞进行了整理分析,并研究学习了APK的静态分析与动态分析技术,最后介绍了安卓的渗透测试技术和常见的安全评估工具。附录处整理了2014年和...
  • App安全测评问题处理

    2019-02-12 16:26:00
    App安全测评问题处理 App安全测评问题分类 1.自身安全 权限信息-info.plist中权限字段访问 行为信息-访问相册、拨打电话 2.客户端数据存储安全 ==动态调试攻击风险== 第三方SDK检测 敏感词 3.二进制代码保护 ...
  • app安全之界面劫持

    千次阅读 2018-05-08 16:51:26
    app安全:如何应对界面劫持app安全如何应对界面劫持界面劫持的原理解决办法具体实施在Activity的各生命周期中启动或者停止服务在onResume中开启service在onStart和onDestory中关闭service编写具体的Service逻辑在...
  • iOS app安全技术总结

    万次阅读 2018-02-14 09:54:33
    iOS app安全技术总结 很多开发者认为,iOS系统的封闭性使APP更加安全。事实上,根据国外某安全服务商的最新调查显示:iOS前100名的付费应用中有87%均遭黑客破解。内购破解、源代码破解、本地数据窃取等,为iOS应用...
  • Android APP安全测试入门

    千次阅读 2017-04-05 13:33:00
    最近这两年移动端真是非常火,每个单位或多或少都会有那么几款App,对于我们Web安全攻城师来说,App安全也需要或多或少的了解一些。 年初单位来了一 位对App安全略有研究的小伙伴,某日闲来无事教了笔者几招,...
  • Android安全- http://blog.csdn.net/SEU_Calvin/article/category/6308670 理解Android安全机制- ...APP安全(二)终端安全全预览- https://tamicer.github.io/2017/03/02/safe...
  • 故此,重新收集和整理了一下那些提供免费服务的APP安全在线检测平台。1、爱加密提供APP免费加密、免费检测服务,可在线查看检测详情,下载安全检测报告。https://www.ijiami.cn/index2、梆梆安全开发者服务平台...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 19,553
精华内容 7,821
关键字:

app安全