手机等设备上存在的病毒应用，可能会使用户隐私信息、交易安全等面临威胁，甚至造成资金损失。
 
对此，华为开放安全检测服务，提供应用安全检测（AppsCheck API），帮助App开发者获取所运行设备上的恶意应用列表。App可根据检测结果，决定是否限制用户在App内支付等操作。
 
一、服务介绍
 
华为应用安全检测特性：
 
 
病毒应用检测率高，经权威机构验证：病毒应用检测准确率达99%。
 
 
提供基于行为检测未知威胁的能力。
 
 
集成应用安全检测后，您的App检测的业务流程如下：
 

 (1) 您的应用集成HMS Core SDK调用应用安全检测服务。
 
(2) 安全检测服务向您的App返回恶意应用程序列表。
 
---- 结束
 
二、场景案例介绍
 
目前已有金融、实用工具、教育、拍摄美化、新闻阅读、影音娱乐等App集成了华为应用安全检测API，开发者可通过API获取设备上的恶意应用列表。
 

 例：扫码支付时，若检测发现存在风险，用户在界面上可收到风险提示
 
金融类应用集成华为应用安全检测，可有效提升金融账户安全。 例如，在登入应用帐号时，启动应用安全检测获取恶意应用列表，如果应用检测出设备上的其他应用中存在恶意应用，将会提示访问风险并限制用户操作，避免用户隐私泄露或资金损失。
 
 
影音娱乐类应用集成华为应用安全检测，可确保视频的播放和下载，在经检测无风险的设备上进行，这有助于防范盗版行为，同时App运营更安全高效，可为用户带来更加流畅无忧的视频播放体验。
 
 
其他的，如新闻阅读类应用集成应用安全检测后，用户在阅读、进行应用内支付等操作时，账号安全更有保障。
 
 
三、开发代码
 
1 在AppGallery Connect中配置相关信息
 
在开发应用前，需要在AppGallery Connect中配置相关信息。
 具体操作步骤
 
2 配置HMS Core SDK的Maven仓地址
 
2.1 打开Android Studio项目级“build.gradle"文件
 
 
2.2 添加HUAWEI agcp插件以及Maven代码库
 
在allprojects-> repositories里面配置HMS Core SDK的Maven仓地址。
 
allprojects {  
      repositories {  
          google()  
          jcenter()  
          maven {url 'https://developer.huawei.com/repo/'}  
      }  
   }
 
在buildscript->repositories里面配置HMS Core SDK的Maven仓地址。
 
  buildscript {  
     repositories {  
         google()  
         jcenter()  
         maven {url 'https://developer.huawei.com/repo/'}  
     }  
  }
 
在buildscript ->dependencies里面增加配置。
 
  buildscript{  
      dependencies {  
           classpath 'com.huawei.agconnect:agcp:1.3.1.300'  
      }  
   }
 
3 创建SafetyDetectClient
 
  // 创建SafetyDetectClient  
  SafetyDetectClient   appsCheckClient = SafetyDetect.getClient(getActivity());   
}
 
4 调用获取恶意应用列表，并监听调用结果
 
  Task task = appsCheckClient.getMaliciousAppsList();
  task.addOnSuccessListener(new OnSuccessListener<MaliciousAppsListResp>() {
   // 获取恶意应用列表检测结果 
      @Override 
  public void onSuccess (MaliciousAppsListResp maliciousAppsListResp) {
   
    }  
    
  }).addOnFailureListener(new OnFailureListener() {
     // 获取异常错误码以及异常详情 
     @Override 
             public void onFailure(Exception e) {
             }
         });
 
DEMO演示
 
Demo示例参见：
 
 
更详细的开发指南，请戳华为开发者联盟官网：
 
华为开发者联盟
 
获取开发指导文档
 
下载demo和示例代码请到Github：https://github.com/HMS-Core/hms-safetydetect-demo-android
 
解决集成问题请到Stack Overflow：https://stackoverflow.com/questions/tagged/huawei-mobile-services?tab=Newest
 
 
原文链接： https://developer.huawei.com/consumer/cn/forum/topic/0201428371433090004?fid=18
 
原作者：晚上吃啥

各大手机厂商内置的安全和杀毒引擎无非就是腾讯管家、360卫士、安天移动安全、猎豹金山安全和百度安全等引擎。目前国内手机没有一家手机硬件厂商是自研安全的，都是采用第三方合作或者基于**引擎深度优化定制的。当手机在安装某一款应用软件app的时候提示出现安全风险，就会全网提示，很不友好。那么问题来了，如何在应用上架之前发现潜在的风险（当然有的应用市场也提供安全监测机制）？这是开发者和产品运营者首先要思考的问题。为此小编整理和总结了些仅供参考。
 
APP安全在线检测
 
 
腾讯金刚审计系统 http://service.security.tencent.com/kingkong 免费 无限制
 
 
腾讯御安全 http://yaq.qq.com/ 免费 查看漏洞详情需认证
 
 
阿里聚安全 http://jaq.alibaba.com/ 免费 查看漏洞详情需认证
 
 
360显微镜 http://appscan.360.cn/ 免费 无限制
 
 
360APP漏洞扫描 http://dev.360.cn/html/vulscan/scanning.html 免费 无限制
 
 
百度MTC http://mtc.baidu.com 9.9元/次 无限制
 
 
梆梆 https://dev.bangcle.com 免费 无限制
 
 
爱内测 http://www.ineice.com/ 免费 无限制
 
 
通付盾 http://www.appfortify.cn/ 免费 无限制
 
 
NAGA http://www.nagain.com/appscan/ 免费 无限制
 
 
GES审计系统 http://01hackcode.com/ 免费 无限制
 
 
盘古出品的Janeushttp://appscan.io
 
 
Janus http://cloud.appscan.io
 
 
腾讯电脑管家：哈勃 http://habo.qq.com/
 
 
腾讯TSRC：金刚 http://service.security.tencent.com/
 
 
阿里聚安全：http://jaq.alibaba.com/
 
 
西安交通大学 sanddroid：http://sanddroid.xjtu.edu.cn/#home
 
 
金山火眼：http://fireeye.ijinshan.com/analyse.html
 
 
瀚海源文件B超：https://b-chao.com
 
 
APP安全检测_APP检测_移动安全：https://www.cnmstl.net/app/app?rel=2
 
 
VirSCAN.org-多引擎在线病毒扫描网 v1.02，当前支持 47 款杀毒引擎 https://www.virscan.org/language/zh-cn/
 
 
移动应用风险检测平台 https://jc.appscan.360.cn/#/login
 
 
AVL移动安全·安天 | AV-Test最佳防护，AVL反病毒引擎 https://www.avlsec.com/zh-hans/main/product
 
免费好用的APP安全在线检测和加固平台
 
小密圈有个朋友问，有没有比较好用的APP检测和加固平台可以推荐？
 
其实，关于这个问题已经有不少前辈都有总结过了，但随着时间的迁移，有些平台已不再运营，也出现了一些新的平台。故此，重新收集和整理了一下那些提供免费服务的APP安全在线检测平台。
 

1、爱加密
 
提供APP免费加密、免费检测服务，可在线查看检测详情，下载安全检测报告。
 
https://www.ijiami.cn/index
 
2、梆梆安全
 
开发者服务平台提供免费检测和加固，并且提供的桌面级（PC端）APP加固辅助工具。
 
https://dev.bangcle.com/
 
3、娜迦信息
 
提供安全检测和APP加固，可在线查看检测报告。
 
http://www.nagain.com/
 
4、海云安
 
注册后即可进行安全检测和安全加固服务，可在线查看检测详情，下载检测报告。
 
https://www.secidea.com/hyx/index.php/user/login.html
 
5、Android安全分析平台
 
上传apk文件并填写邮件地址，系统会在分析完成后自动给您发送邮件通知。
 
http://01hackcode.com/
 
6、SandDroid
 
一个自动的Android应用程序分析系统，由西安交通大学团队开发。
 
http://sanddroid.xjtu.edu.cn/
 
7、百度应用加固
 
使用百度账号登录，提供APP免费加固。
 
https://apkprotect.baidu.com/
 
APP安全解决方案 https://anquan.baidu.com/product/appsec
 
8、360
 
360显微镜
 
完全免费的APP安全风险在线扫描服务，提供apk文件后，访问链接查看报告。
 
http://appscan.360.cn/
 
360加固保
 
第一次使用需提供手机验证码，可在线查看漏洞详细。
 
https://jiagu.360.cn/
 
360APP漏洞扫描
 
360移动开放平台，提供免费APP安全体检服务，个人开发者需提交***等信息认证。
 
http://dev.360.cn/html/vulscan/scanning.html
 
9、腾讯
 
金刚审计系统
 
免费检测，上传apk文件，审计完成后邮件通知。
 
https://service.security.tencent.com/kingkong
 
T-Sec 移动应用安全
 
微信扫描登录，提供免费测评和加固。检测速度快，可在线查看漏洞详情，下载测评报告。
 
https://cloud.tencent.com/product/ms
 
WeTest腾讯质量开放平台
 
QQ登录，提供安全扫描和应用加固服务，可在线查看扫描结果。
 
https://wetest.qq.com/
 
10、APK在线检测杀毒
 
百度移动安全检测
 
支持APK文件格式在线查毒，要求小于100MB。
 
http://scan.safe.baidu.com/
 
腾讯手机软件在线查毒
 
支持sisxsisapkjar等手机软件包，提供实时免费的检测服务。
 
https://m.qq.com/security_lab/scans_online.jsp
 
360手机软件安全检测
 
支持多文件上传，支持apk、sis、sisx的文件格式，每个软件大小限制为180M。
 
http://scan.shouji.360.cn/index.html
 
Android应用加固_APK加固_防篡改_APP加固_网易易盾 https://dun.163.com/product/android-reinforce
 
【四维创智】-专研智能，智汇安全-网络攻防-渗透测试-web安全-无线安全-内网安全 http://www.4dogs.cn/lq/
 
Android加固保护-安卓加固-APP加固-移动安全-顶象 https://www.dingxiang-inc.com/business/stee
 
 
 
【附录】安全加固和病毒检测的免费平台
 
 
 

客户网站以及APP在正式上线之前，都会找专业的安全公司进行渗透测试，检测网站、APP是否存在漏洞，以及一些安全隐患，大多数的运营者觉得安装一些安全防护软件就足以防止攻击了，越这样，网站APP越容易受到篡改数据，以及攻击等情况时而发生，近几年移动互联网的快速发展，APP应用，网站也越来越多，受到的攻击成几何的增长，有很多客户找到我们SINE安全来进行渗透测试服务，那如何通过渗透测试解决网站APP现有的攻击问题呢，首先我们要了解，什么是渗透测试？
 
 
渗透测试是对网站、APP应用（android,ios）进行全面的安全检测与漏洞扫描，模拟攻击者的手法，切近实战，人工检查网站APP存在的漏洞，最后评估生成安全报告，简单来概括也叫黑箱测试，在没有客户提供的网站源代码以及服务器管理员权限的情况下，从普通的用户访问对网站进行测试。我们SINE安全在对客户网站、APP进行渗透测试之前，都需要获取客户的安全授权，再一个确认客户的网站是否是客户的，验证所有权，再授权我们进行安全渗透，安全授权相当于甲方公司同意对乙方对旗下的网站域名，以及APP进行远程的黑箱，白箱的渗透测试，双方公司盖章，电子签或快递签，开始安全服务。
 
渗透测试的范围与服务内容都有哪些？
 
分多个层面进行，网站方面，APP方面，我们从网站来说，大体渗透的范围，对网站的漏洞进行检测，包括SQL注入漏洞，get,post,cookies注入漏洞，延迟注入检测，盲注检测，XSS跨站漏洞检测，分反射XSS,持续性XSS，存储性XSS检测，CSRF漏洞，逻辑漏洞，垂直，平行越权漏洞，文件上传截断绕过漏洞,目录遍历漏洞，URL地址跳转漏洞，代码远程执行漏洞，数据库漏洞，账号弱密码漏洞扫描，任意文件下载漏洞，API接口漏洞检测。
 
 
APP渗透测试方面包含APP反编译安全测试，APP脱壳漏洞，APP二次打包植入后门漏洞，APP进程安全检测，APP appi接口的漏洞检测，任意账户注册漏洞，短信验证码盗刷，签名效验漏洞，APP加密/签名破解，APP逆向，SO代码函数漏洞，JAVA层动态调试漏洞，代码注入，HOOK攻击检测，内存DUMP漏洞，AES解密测试，反调试漏洞，还有APP功能上逻辑漏洞，越权漏洞，平行垂直，获取任意账户的信息，弱口令漏洞，暴力破解漏洞，JAVA漏洞检查，敏感信息泄露等等。
 
 
根据SINE安全团队十年的渗透测试经验得出，在对客户网站进行测试前，收集客户网站信息以及资料，整理的越多越好，有利于更深入的了解客户，只有真正的了解了自己，才能知彼知己百战不殆，通过收集的资料，人工+软件辅助的方式对漏洞进行检测，通过发现出来的漏洞以及测试经验进行更进一步的漏洞深挖。最后对渗透测试出的漏洞，以及漏洞修复方案，安全方面建议，整理成详细的安全部署报告，交由甲方公司，对整体的渗透测试内容进行描述，检测出来的漏洞分高中低，漏洞名称，漏洞详情，漏洞利用方式，以及如何才能修复好漏洞，都会在报告中详细的写出，这样才是完整的渗透测试服务，找出漏洞所在，解决客户的后顾之忧。

前言
 
DStv Now是非洲知名娱乐公司Multichoice旗下，一款针对非洲市场打造的影音类应用，用户可在线或通过离线缓存，观看喜爱的视频节目。DStv Now始终坚持以客户为中心，致力于提供安全可靠的数字视频内容。在结合了系统完整性检测和应用安全检测两项安全能力后，有助于确保DStv Now的流畅视频体验。
 
 
业务挑战
 
确保应用运行环境安全，对用户使用体验、帐户安全、视频内容保护都至关重要。手机上存在的恶意应用，或手机系统环境存在风险，都会使用户帐号、个人信息等面临安全威胁。因此，DStv Now团队面临的挑战是需在应用中增加安全检测能力，用于评估设备环境安全。
 
DStv Now技术负责人表示，他们“对适用于不同设备的App本身不断优化”，但还需“确保其运行设备是安全的，从而满足一些内容提供商的要求，并确保用户可以享受流畅的流媒体体验。”
 
解决方案
 
“安全检测服务可以帮助我们检查设备环境是否安全、未被恶意篡改，”团队负责人说。安全检测服务是华为推出的多维度安全检测开放服务，提供系统完整性检测、应用安全检测等功能，帮助应用快速构建安全能力，保护用户隐私及安全。当用户注册DStv Now、打开播放和缓存视频时，App会调用系统完整性检测和应用安全检测功能。
 
其中，系统完整性检测基于TEE可信执行环境和数字证书签名，帮助DStv Now团队检查用户设备的运行环境是否安全，例如是否被root；应用安全检测帮助App获取安装在设备上的恶意应用列表。如果发现设备存在这些安全风险，DStv Now就可以基于检测结果评估是否限制App行为，或对用户作出安全提示。“使用安全检测有助于提高安全性，确保我们的客户在安全的设备上使用我们的App，”DStv Now团队负责人说道，“这有助于防范盗版行为，确保在我们的内容提供商认可的设备上完成流媒体和视频播放。”此外，在通过安全检测的设备上进行App优化、开发新特性，“还有助于确保流畅的用户体验，而不必担心App会适应被篡改的设备。”
 
华为安全检测服务的接入，满足了DStv Now的安全检测能力需求，帮助其实现了提供更安全可靠的视频内容的目标。团队负责人说：“集成系统完整性检测和应用安全检测能力，有助于确保DStv Now用户享受流畅的视频体验。”
 
结果
 
确保DStv Now的流畅视频体验
 用户帐户更安全，
 视频播放更安全。
 
欲了解更多详情，请参阅：
 华为开发者联盟
 获取开发指导文档
 
下载demo和示例代码请到Github：https://github.com/HMS-Core/hms-safetydetect-demo-android
 
解决集成问题请到Stack Overflow：https://stackoverflow.com/questions/tagged/huawei-mobile-services?tab=Newest
 
参与开发者讨论请到Reddit社区：https://www.reddit.com/r/HuaweiDevelopers/
 
 
原文链接：https://developer.huawei.com/consumer/cn/forum/topic/0201433505160550078?fid=18&pid=0301433505160550243
 
原作者：晚上吃啥