当前位置: 首页 > news >正文

国外企业建站深圳搜索引擎优化收费

国外企业建站,深圳搜索引擎优化收费,重庆市工程建设信息网新网站,wordpress论坛功能文章目录 安卓加固apk文件结构dex加固过程 其它安全问题 安卓加固 从App的加固技术来看:主流分为dex加密和so加密,目前来看保护dex文件更为重要,因为dex反编译后的java代码可读性更强。 android-ndk: Native Development Kit 官网解释:这套工具使您能在 Android 应…

文章目录

  • 安卓加固
    • apk文件结构
    • dex加固过程
  • 其它安全问题

安卓加固

在这里插入图片描述
从App的加固技术来看:主流分为dex加密和so加密,目前来看保护dex文件更为重要,因为dex反编译后的java代码可读性更强。

android-ndk: Native Development Kit
官网解释:这套工具使您能在 Android 应用中使用 C 和 C++ 代码

在这里插入图片描述

apk文件结构

文件或目录说明
assets存放资源文件
lib存放ndk编译出来的so文件
META-INF签名信息
res存放资源文件
AndroidManifest.xml清单文件
classes.dexjava源码编译后的dalvik字节码
resources.arsc编译后的二进制资源文件

dex加固过程

在这里插入图片描述
上图中的重打包签名的详细图:
在这里插入图片描述
ProxyApplication就是壳dex的入口。

其它安全问题

除了混淆源码、加固源码,还有以下问题需要注意:

风险名称风险解决方案
篡改和二次打包修改文件资源,添加病毒、广告,
窃取支付密码,拦截短信
混淆资源文件,
对签名过后的hash进行验签
资源文件被窃取钓鱼网站混淆资源文件
webview明文存储密码风险用户使用webview默认存储密码到databases/webview.db
root的手机可以产看webview数据库
关闭webview存储密码的功能
调试日志函数调用日志中含有敏感信息关闭调试日志函数,删除日志文件
不安全加密ECB模式和OFB模式改用CBC或CFB
密钥硬编码逆向窃取密钥应该模仿best practice去随机生成
动态调试gdb调试,java调试在so文件中对调试进程进行监听
android:debuggable=“false”
应用数据被备份清单文件中allowbackup=true
攻击者可以使用adb命令对APP应用数据进行备份
allowbackup=false
全局可读写内部文件不同软件之间不必要的数据共享
其它应用可以读取或修改内部文件
MODE_WORLD_READABLE
android: sharedUserId
使用MODE_PRIVATE模式创建内部存储文件;加密后存储;或者干脆脱敏
内网测试信息残留通过测试的Url,测试账号等对正式服务器进行攻击等清除测试痕迹
随机数不安全使用不够随机不使用setseed方法
使用/dev/urandom /dev/random
http/https明文传输,中间人攻击X509TrustManager checkServerTrusted校验函数要按需实现,不能留空白
HostnameVerifier 检查证书的主机名和使用证书的主机名是否一致
输入监听窃取密码等自定义键盘
截屏攻击对app界面进行截图或录屏添加属性getWindow().setFlags(FLAG_SECURE)
不让用户截图和录屏
模拟器运行风险刷单,模拟位置禁止在模拟器上运行
四组件导出风险Activity被第三方应用访问导致被任意应用恶意调用自定义权限
动态注册Receiver风险使用带权限检验的registerReceiver API进行动态广播的注册
PendingIntent错误使用Intent风险使用PendingIntent的时候,如果使用了一个空Intent,会导致恶意用户劫持修改Intent的内容禁止使用一个空Intent去构造PendingIntent
Intent组件隐式调用风险使用隐式Intent没有对接收端进行限制导致敏感信息被劫持对接收端进行限制
建议使用显示调用方式发送Intent
fragment注入攻击风险PreferenceActivity的子类中,没有加入isValidFragment方法,进行fragment名的合法性校验,攻击者可能会绕过限制,访问未授权的界面(1).如果应用的Activity组件不必要导出,或者组件配置了intent filter标签,建议显示设置组件的“android:exported”属性为false(2).重写isValidFragment方法,验证fragment来源的正确性
webview远程代码执行风险风险:WebView.addJavascriptInterface方法注册可供JavaScript调用的Java对象,通过反射调用其他java类等建议不使用addJavascriptInterface接口,对于Android API Level为17或者以上的Android系统,Google规定允许被调用的函数,必须在Java的远程方法上面声明一个@JavascriptInterface注解
zip文件解压目录遍历风险Java代码在解压ZIP文件时,会使用到ZipEntry类的getName()方法,如果ZIP文件中包含“…/”的字符串,该方法返回值里面原样返回,如果没有过滤掉getName()返回值中的“…/”字符串,继续解压缩操作,就会在其他目录中创建解压的文件(1). 对重要的ZIP压缩包文件进行数字签名校验,校验通过才进行解压。 (2). 检查Zip压缩包中使用ZipEntry.getName()获取的文件名中是否包含”…/”或者”…”,检查”…/”的时候不必进行URI Decode(以防通过URI编码”…%2F”来进行绕过),测试发现ZipEntry.getName()对于Zip包中有“…%2F”的文件路径不会进行处理。
Root设备运行风险已经root的手机通过获取应用的敏感信息等检测是否是root的手机禁止应用启动
从sdcard加载Dex和so风险未对Dex和So文件进行安全,完整性及校验,导致被替换,造成用户敏感信息泄露(1).放在APP的私有目录 (2).对文件进行完成性校验。
http://www.shuangfujiaoyu.com/news/23148.html

相关文章:

  • 400电话单页网站51趣优化网络seo工程师教程
  • wordpress 云储存插件苏州seo安严博客
  • 怎么做网站seo优化军事新闻最新24小时
  • 做复刻手表的网站世界互联网峰会
  • 华茂达建设集团网站广东的seo产品推广服务公司
  • 做房产的网站排名seo首页关键词优化
  • 竹子建站下载友情链接论坛
  • 贴吧做网站网上商城推广13种方法
  • 网站制作网页制作百度快照推广一年要多少钱
  • 企业网站建设要多久正规接单赚佣金的app
  • 建站之星网站建设下载版cpv广告联盟
  • 为什么网站要域名南宁seo网络推广
  • 页面设计模板素材栾城seo整站排名
  • 如何更新网站缓存企业网站制作需要多少钱
  • 简述跨境电商网站的平台建设刚刚突发1惊天大事
  • 大连网站建设公司哪家好微信营销平台
  • 灯具做外贸的网站有哪些seo网站关键词优化方式
  • 燕郊网站建设公司专门培训seo的网站
  • 学生做网站的软件百度爱采购推广一个月多少钱
  • wordpress 三款站群插件之比较自媒体营销方式有哪些
  • 服装电子商务网站有哪些sem优化托管
  • 龙口网站制作公司温州seo网站推广
  • 西安做网站seo项目分析
  • WordPress只能ssl淘宝seo关键词的获取方法有哪些
  • 珠宝网站源码下载开网店哪个平台靠谱
  • 网站建设网站制作需要多少钱关键词推广操作
  • 老域名怎么做新网站被逆冬seo课程欺骗了
  • 网站开发 面试 适当吹牛大数据查询
  • 深圳龙江网站设计seo网站关键词快速排名
  • 建站工具缺点长春网站建设技术支持