点击标题下「蓝色微信名」可快速关注
Android系统是个很有意思的OS操作系统,底层linux, 上层用Java, 既可以用c/c 开发,也可以用Java开发。所以搞懂整个android系统实则不容易,年初有几篇说过android sys的文章,后续也讨论过安全相关的理论文章, 本篇实则是针对理论博文列举实际出现的漏洞,进而进行一个个实践解决。
系统层面安全
1 权限使用 2 Root风险 3 APP反编译与逆向
应用层安全
1 组件劫持 2 DNS劫持 3 Webview 安全漏洞 4 APP进程劫持
业务层用户层安全
1 明文传输
2 本地数据泄露 3 业务逻辑被篡改 4 Native代码被攻击
5 使用一套密码 多平台密码撞库
实际遇到的安全漏洞
在本人的开发中,不断的遇到的安全难题,以及参考漏洞盒子爆出的潜在安全漏洞,目前列举几个重要的相关case,方便后续针对性的解决:
1 升级过程全程被劫持 2 DNS劫持,H5页出现恶意广告 3 刷单,刷赞,(api缺失校验) 4 登录界面和支付界面被劫持 5 交易接口劫持定向 6 数据库存在sql注入风险,泄露敏感信息 7 包反编译植入病毒二次打包,或重新打包一个修改业务代码的apk伪造目标APP。 8 应用运行信息可被全程HOOK 9 安卓客户端存在密码撞库风险 10 本地ddos拒绝服务攻击 11 客户端设计缺陷可导致中间人攻击
12 数据信息随意开放,泄露用户隐私
上面的漏洞其实是很常见的,够我们喝一壶的了,怎么解决也是个比较重要的话题,如果有兴趣关注这块的朋友可以订阅本订阅号,后续会继续推出相关文章。
国外的一篇建议文章: <安全具体编码实践>:
https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=111509535
猜你喜欢
Andrroid安全要点与规范
技术 - 资讯 - 感悟
END
