APP需要关注哪些安全问题
对于个人开发者或者某些小企业开发者而言,APP安全的始终是一件让人非常头疼的事情。下面我们从安全开发角度出发,进行梳理了一个APP需要关注的APP安全的问题(没有绝对的安全)。
一、应用安全
在开发APP过程中,不安全的代码编写方式和没有周全考虑到相应的安全性,从而给开发的APP带来一定的安全风险,那么应用安全这个最重要的安全需要关注哪些方面?
应用安全主需要关注:二进制安全、敏感数据安全、敏感资源安全、完整性安全、证书存储安全。这五个方面处理的好会一定程度提高APP安全性。
1. 环境检测
- 环境检测主要关注点::模拟器检测、root检测。
- 目前主流的模拟器:夜神模拟器、雷电模拟器、逍遥模拟器、mumu模拟器、腾讯手游模拟器。
- 对模拟器实现原理:一种基于Qemu,一种基于Genymotion(VirtualBox)。
- 模拟器的检测主要方式:模拟器的特有文件、模块、特征,代理类等等。
2. 反调试检测
- 目前调试工具: jeb、IDA、GDB等调试工具进行调试分析代码和数据。
- 反调试方式(检测规则一小部分):检测/proc/%d/status和/proc/pid/stat 和 /proc/pid/task/pid/stat状态值。
二、敏感数据安全
1. 代码中敏感URL
直接将访问的网址或访问的IP地址硬编码写到代码中,那么攻击者可以通过反编译app进行静态分析(jeb,jadx,IDA),搜索URL或IP相关的信息,那么这些URL或IP信息就会成为攻击者的一个利用目标。
2. APP中敏感数据
在APP的代码或配置文件中,存储着敏感而且没有进行做加密保护的数据。
攻击者攻击方式有两种:
- 利用apktool反编译APP应用,并进行查看二进制代码数据就能直观的看到敏感的操作调用敏感数据。
- 通过代理模式进行抓包就可以直接抓到APP运行中的操作的敏感数据。
三、完整性校验
APP开发者如果没有对开发的APP进行做完整性校验的话,那么攻击者用androidkiller工具进行对APP功能的逆向修改,例如对app植入恶意代码,木马、广告等等,那么这些修改APP后,并进行重新签名发布,这会导致包的完整性被破坏,那么如果有包完整性校验,校验包被破坏了就进行检验并做对应闪退效果。
四、证书存储风险
APP中使用的数字证书可被用来校验服务器的合法身份,以及在于服务器进行做通信的过程中对传输数据进行加解密的运算,保证传输数据的保密性,完整性。
明文存储的数字证书如果被篡改,APP客户端可能会连接到攻击者的服务器上,导致APP的敏感信息被盗取。如果明文证书被盗取,可能会造成传输数据被拦截解密,伪造第三方的APP客户端向服务器进行发送请求,篡改服务器中的关键数据或者造成服务器响应异常。
总之面对潜力巨大的移动互联网市场,企业定制开发APP不仅是企业发展的必然趋势,也是面对市场竞争的正确选择。而快速应用开发网业内十年开发,经验丰富、技术强劲,是您定制开发APP道路上的忠实助力者。
APP需要关注哪些安全问题相关推荐
- 好用的影音APP要关注哪些方面和功能?
4G网络的发展和普及,视频已经成为学习娱乐的主要形式,而移动端的普及和内存容量的变大,使得各类APP也成为用户学习娱乐的方式之一.尤其是对于自有版权的企业或者个人团队,开发自己的影音APP可以更好的吸 ...
- 【技术分享】Android App常见安全问题演练分析系统-DIVA-Part1
只有我看到DIVA的时候想到的是D.VA嘛?!滑稽脸 I. 什么是DIVA DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞的Android a ...
- APP活动运营:应关注哪些数据指标?
活动策划(准备阶段)需要思考哪些数据指标 策划一个活动,肯定要明确自己做活动的一个目的是什么?更偏重的是品牌传播.拉新?还是更多为了活跃用户,提高用户留存?通过活动想达到什么样的具体效果?因此在 ...
- 婚恋交友app开发中需要注意的安全问题
前言 随着移动设备的普及,婚恋交友app已经成为了人们生活中重要的一部分.但是,这些应用的开发者需要确保应用的安全性,以保护用户的隐私和数据免受攻击.本文将介绍在婚恋交友app开发中需要注意的安全问题 ...
- 【数据分析】APP活动运营:应关注哪些数据指标(in)
活动策划是APP运营比较常见的方法,也是快速拉新.活跃用户的方法之一:一个好的活动通过正确的渠道投放,带来的传播效应是非常强大的!而现在讲究的是精细化运营,任何事情都是需要用数据说话:因此每一次活动, ...
- app信息收集和waf识别
waf Web应用防护系统(也称为:网站应用级入侵防御系统.英文:Web Application Firewall,简称: WAF).利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HT ...
- Web App版权保护迎来曙光,APICloud提出平台级解决方案!
随着HTML5标准的定稿,市场对HTML5的热情再次被点燃,但目前Web App和HTML5游戏存在的盗版问题和代码安全问题一直备受关注,甚至成为阻碍行业发展的一个巨大瓶颈.开发者花半年辛苦完成的产品 ...
- 顶象iOS应用加固,如何助力App上架苹果商城
当前,中国经济正在转入高质量发展阶段,基于新一代信息技术飞速发展带来的引领性基础,以及创新驱动.高质量供给创造的新需求,为迎接数字时代奠定了基础.作为数字经济下的重要产品,移动应用(以下简称" ...
- CSDN产品公告:APP新增大厂在线刷题功能、博主排名规则更新、MD编辑器优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明. 本文链接:https://blogdev.blog.csdn.net/article/deta ...
最新文章
- Python实现一元及多元线性回归
- Unity3D研究院之C#使用Socket与HTTP连接服务器传输数据包
- linux I/O--I/O多路复用--详解(四)
- 辽宁省2021年高考成绩位次查询,辽宁2021八省联考分数、位次表(非官方),附志愿填报样表...
- Bit-Z开展BTC交易赛 赢200倍交易奖励
- 在DockerHub发布Dubbo Admin镜像
- 分布式版本控制系统Git的安装和使用
- android 动态获取全县_省市县 ------ 三级滚动(android)
- Eclipse使用————生成Get/Set、toString快捷键(不使用鼠标)
- Ado.Net读取Excel常见问题总结
- .net mysql 多线程_.Net多线程问题总结
- smarty模板基础知识
- 铜陵高考2021年成绩查询,滁州高考成绩查询入口2021
- java 内存溢出和内存泄漏_java中的内存溢出和内存泄漏
- MarkDown 行首缩进
- (附源码)微信小程序 Demo
- Clickhouse分片集群性能测试
- 挥泪推荐6款非常非常非常实用的软件!
- edge设置IE兼容模式
- YOLOv7官方开源 | Alexey Bochkovskiy站台,精度速度超越所有YOLO,还得是AB