- 综合排序
- 最热优先
- 最新优先
- 来自专栏tea9的博客
app安全检测
/pid/status,查看第二个字段的值是否为T,当app处于调试状态,此值为T; 3、读取/proc/net/tcp,查看端口号是否存在0×5DBA字段,因为IDApro调试默认端口为23946,0 ×5DBA即为其十六进; 4、利用android进程附加的特性,一个进程只允许被附件一次,可以在启动app的时候开启一个进程附件app进程,导致其他动态调试进程无法附件进程,使其无法动态分析; 5、检测 Static Analysis 静态分析作为逆向分析破解app最为常见手段,如果app没有经过任何安全保护,可以说通过静态分析可以分析任何你需要的东西,导致非常严重的危害。 代码: 通过xposed框架Hook微医用户版app,可以查看到不少进程已经注入到app中,对app的安全危害极大: 图片涉密 ps | busybox grep com.xx 通过cydia substrate \5. 反编译 APK 为 jar 包,通过 jd-gui 观察对应代码逻辑,寻找客户端对于手势密码的修改和 删除是否存在相应的安全策略。
3.8K10编辑于 2023-03-08 - 来自专栏游戏安全攻防
App安全测试
APP安全威胁 在App项目中都会碰到三座App安全大山。App客户端安全、数据传输安全、App服务端安全。下面以分析检测的思路进行对App安全威胁的这三座大山进行一些剖析梳理总结。 所以该App的反编译这项是相对安全的。 本地数据安全检测 App本地数据安全性问题需要关注的问题分别为:App所在目录的文件权限、SQLite数据库文件的安全性、敏感数据明文直接存储Sdcard。 App服务器安全 App服务端安全需要关注的是服务端API安全、业务逻辑安全、中间件安全、服务器应用安全。主要可以通过渗透测试的方式对App的服务器进行安全检测,通过模拟恶意攻击方式进行对服务器攻击。 从而提高App服务器的安全性。
3.9K31发布于 2021-09-02 - 来自专栏Android群英传
App安全二三事
为什么要安全 现在几乎所有App都是网络强相关的,客户端展示的很多东西都是通过接口从服务器上获取的,当然,服务器也会接收大量从客户端上传的数据,这两端在进行双向通信的时候,就很容易被第三方截获,导致数据被盗取 App的移动安全主要包括下面几种: 密钥破解,导致本地加密数据被盗取 通信密钥破解,导致接口数据被盗取 伪造接口数据上报 接口签名被破解,导致接口可以被重放攻击 那么归结起来,实际上就是这样几种模式: 成本最低,而且可以比较有效的扼杀一些在破解边缘徘徊的初级破解者,让他们能够悬崖勒马,浪子回头,然而,对于真正想要破解的人来说,混淆只等于加大了一点阅读难度而已,相信做开发的同学基本上也都反编译过别人家的App 当然Google也总是后知后觉,在各种厂商提供了TrustZone/TEE硬件加密方案后,Google也推出了Keystore,当然,最低要API26才能使用,所以在现在来说,几乎不会有App能做到最低版本 TCP加密 目前大部分的App都是通过Http来进行数据交互,但基于TCP,我们可以实现自己的通信协议,另外,利用TCP包的无序性来增加破解的难度,这样,利用TCP心跳来维持一个安全的通信通道,也是一个非常不错的方案
1.2K20发布于 2018-07-20 - 来自专栏游戏安全攻防
APP安全合规
背景介绍 APP安全合规的监管机构:APP违法违规收集使用个人信息治理工作组(APP治理小组)、工业和信息化部信息通讯管理局(工信部)、国家移动互联网应用安全管理中心(病毒中心)、地方通信局、地方网安 APP应用安全合规需要关注问题 在开发并上架APP项目时需要重点关注:程序自身保护安全、运行环境安全、身份认证安全、数据存储安全、内部组件安全、恶意攻击安全这六大问题。 ? APP如何做好基础防护? 为了让我们开发的APP能过安全合规检测,我们需要重点关注如下五点,让我们的APP更加安全。 ? APP安全合规建设的思考 安全开发人员:熟悉负责的产品功能、了解个人 信息采集、使用和展示定制个人隐私政策,并对组员以及APP开发团队进行安全合规的要求以及做法进行做宣传以及安全合规应用和监督把控。 软件开发人员:熟悉了解APP应用客户端安全合规所涉及的技术信息,避免出现安全漏洞。 QA:根据安全合规的标准进行做验证测试,严格把控APP安全质量,守好APP应用上架的最后一道防线。
2.9K21发布于 2021-06-10 - 来自专栏FreeBuf
APP安全检测手册
前言 随着运营商新技术新业务的发展,运营商层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、业务逻辑及APP等方面的挑战。 随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的安全性将面临越来越多的挑战。 为有效的针对上述各种威胁进行有效防范,保障运营商和客户的业务安全,本手册将着重从下表所列项目针对APP应用(安卓)安全进行检测。 :安卓系统定义了许多权限声明项,分别对应一些操作系统功能; 4.权限声明的作用:如果一个APP或组件在没有声明权限的情况下就调用相关API,会被拒绝访问;但如果声明了相关权限,安装的时候就会有提示; 5 登录后切出,5 分钟内自动退出为安全。 7.6.3 威胁等级 当移动终端设备进行进程切换操作,显示界面不为客户端页面时,若客户端提示用户确认是否为本人操作,则无风险;若无相应提示则为低风险。
5.7K42发布于 2020-05-26 - 来自专栏TechBox
iOS App 安全测试
一、数据存储安全 主要从以下几个方面考虑 Sandbox 数据存储 Keychain 数据存储 Console Log 数据 Keyboard 缓存 1. Sandbox 数据存储 (1) Sandbox 文件存储结构 SubDirectory Description AppName.app 存储 app 执行文件和静态资源文件,改文件夹为只读 Documents App的配置文件等,该文件夹的内容会被同步到backup文件中 Library Application support files Library/Preference App specific preferences Keyboard cache 二、 数据通信安全 测试工具: BurpSuite 安装和使用请参见http://docs.alibaba-inc.com:8090/pages/viewpage.action :application:openURL和application:handleOpenURL 测试点: openURL的方法实现中有没有对传入的URL参数做校验 openURL有没有校验URL来源是否安全
8.5K40发布于 2018-06-05 - 来自专栏游戏安全攻防
APP应用安全检测
背景 目前APP发包上架的流程前,免不了需要对APP应用安全检测这个重要且必不可少的步骤流程,APP应用安全检测大部分采用采购第三方的APP安全检测产品(因为这块技术基础储备),也有部分企业基于开源的移动安全框架 (MobSF)进行二次开发APP安全检测产品(采购第三方产品费用太高),也有部分安全团队基于团队的技术储备进行基于逆向第三方APP安全检测产品进行开发自研的APP安全检测产品(采购第三方检测产品)。 基本信息检测 通常情况下,APP包基本信息的检测维度 : APK文件名称、应用名称、包名、文件大小、版本信息、签名信息、sdk版本、APP的MD5、是否有采用第三方加固、第三方sdk的数量等等。 5、检测APP中明文URL、明文账号密码,手机号码信息。 5、检测APP是否存在二次打包或盗版的风险,通过利用apktool工具对app进行解包,再进行修改后重新打包,最后验证APP安装和功能运行是否正常,如果通过二次打包后还能正常运行,那么该APP就存在有被二次打包或盗版的风险
4.2K30编辑于 2022-03-31 - 来自专栏QA一隅
App安全测试—Android安全测试规范
备注:allowBackup属性未配置时默认为true debuggable开启 用例风险:当debuggable标志值为true时,即表示是App可调试的,存在安全泄露风险。 本地数据库注入/文件遍历检测 安全风险:获取或者篡改app中存储的敏感信息,如手机号、账号、密码等,在业务运行操作时无法保证数据安全。 WebView组件安全测试 WebView是Android系统提供能显示Web页面的系统控件,例如混合类型的App中H5界面就是使用了WebView组件。 数据的完整性进行校验 安全风险 App向服务器提交的数据易被中间人篡改,对用户数据的完整性造成影响,如用户信息被破解利用等问题。 键盘劫持测试 安全风险: 攻击者可以通过劫持键盘窃取用户输入数据,可能带来用户账号密码、敏感数据等泄露的风险,特别是银行金融类App。
6.3K42发布于 2021-08-09 - 来自专栏日常活动篇
H5 App实战三:H5 App的本地存储
正文在H5 App开发中,本地存储是一个重要的功能,它允许应用在用户的设备上存储数据,以便在用户重新访问应用时能够恢复这些数据。 H5的本地存储主要有两种方式:Web Storage(包括localStorage和sessionStorage)和IndexedDB。本文将详细讲解这两种存储方式,并提供示例代码。 安全性:本地存储的数据可以被用户通过浏览器的开发者工具查看和修改,因此不适合存储敏感数据。通过以上讲解和示例代码,相信你已经对H5 App的本地存储有了更深入的了解。
99210编辑于 2024-11-23 - 来自专栏知识分享
H5 App实战一:H5 App概述与入门
即时更新:由于H5 App是通过Web技术开发的,因此可以实时更新内容,无需用户手动下载更新包。易于推广:H5 App可以通过二维码、链接等方式轻松分享,便于用户快速访问和使用。 它们通常具有更高的性能、更好的用户体验和更强的安全性。 H5 App与原生App的主要区别:性能:原生App通常具有更高的性能,因为它们可以直接与操作系统进行交互,而H5 App则需要通过浏览器或WebView组件进行渲染和执行。 安全性:原生App在安全性上通常更有保障,因为它们可以通过操作系统提供的权限管理机制来保护用户数据。而H5 App则需要通过额外的安全措施来确保用户数据的安全。 通过这个简单的H5页面示例,你可以了解到H5 App的基本结构和开发流程。
2.2K10编辑于 2024-11-21 - 来自专栏测试开发技术
APP 安全测试项总结
三、软键盘劫持 如果用户安装了第三方键盘,可能存在劫持情况,对此,我们在一些特别敏感的输入地方可以做检查,例如金融类APP登录界面的用户名密码输入框等,看是否支持第三方输入法,一般建议使用应用内的软键盘 3)对App的输入有效性校验、认证、授权、数据加密等方面进行检测 4)限制/允许使用手机功能接入互联网 5)限制/允许使用手机发送接收信息功能 6)限制或使用本地连接 7)限制/允许使用手机拍照或录音 5)当应用程序处理信用卡明细或其它的敏感数据时,不以明文形式将数据写到其他单独的文件或者临时文件中。 7)应用程序应考虑或者虚拟机器产生的用户提示信息或安全警告 8)应用程序不能忽略系统或者虚拟机器产生的用户提示信息或安全警告,更不能在安全警告显示前,利用显示误导信息欺骗用户,应用程序不应该模拟进行安全警告误导用户 5)应能处理网络异常和及时将异常情况通报用户。 6)应用程序关闭网络连接不再使用时应及时关闭,断开。 4.人机接口安全测试 1)返回菜单应总保持可用。 2)命令有优先权顺序。
89710编辑于 2024-04-30 - 来自专栏Owen's World
APP接口安全设计要点
总结了一些APP接口安全设计的要点供大家参考,如有疏漏请在评论里面提醒补充!
2K20编辑于 2021-12-08 - 来自专栏APP开发
原生App和H5 App的对比
在移动应用开发领域,原生 App 和 H5 App 是两种常见的开发模式。它们各有优劣,适用于不同的场景和需求。了解两者的区别有助于开发者和产品经理做出更明智的选择。 更高的稳定性和安全性: 通常比 H5 App 更稳定,并且可以利用操作系统的安全特性提供更好的数据保护。离线能力: 大部分功能可以在没有网络连接的情况下使用。 H5 App (HTML5 App)H5 App 并非严格意义上的“应用程序”,它更像是一个在移动端浏览器中运行的网页应用。 安全性相对较低: 容易受到跨站脚本攻击等 웹安全问题的影响。功能受限于浏览器能力: 能够实现的功能受限于浏览器对 HTML5 标准的支持程度以及对设备硬件的访问权限。 在实际开发中,也常常采用混合开发(Hybrid App)模式,即结合原生和 H5 的优势,将 H5 内容嵌入原生容器中,以达到开发效率和用户体验的平衡。
80610编辑于 2025-04-27 - 来自专栏APP开发
原生APP和H5 APP的比较
原生APP和H5 APP是移动应用开发的两种主要方式,它们在性能、用户体验、开发成本等方面存在显著差异。以下是对它们的详细比较。1. 性能:原生APP: 性能卓越,运行速度快,响应迅速。 H5 APP: 用户体验受限于浏览器的功能和性能,可能无法达到原生APP的水平。 部分原生功能无法实现或实现效果较差。 对网络依赖性强,离线使用受限。3. 5. 更新与发布:原生APP: 更新需要通过应用商店审核,发布周期较长。 用户需要手动下载更新。H5 APP: 更新无需应用商店审核,发布周期短。 用户无需手动更新,即可获取最新版本。 总结:如果追求卓越的性能和用户体验,以及需要调用设备的全部原生功能,应选择原生APP。如果追求较低的开发成本和快速的更新迭代,以及应用功能相对简单,应选择H5 APP。 在实际应用中,还可以采用混合开发模式,即将原生APP和H5 APP相结合,充分发挥两者的优势。
56410编辑于 2025-03-12 - 来自专栏日常活动篇
H5 App实战九:H5 App的调试与测试
下面正文开始:正文在H5 App的开发过程中,调试与测试是至关重要的环节。通过这一步骤,我们可以发现并修复潜在的错误,确保应用的稳定性和用户体验。 本文将详细介绍H5 App的调试与测试方法,并附上示例。一、调试方法1.开发者工具H5 App的调试离不开浏览器的开发者工具。 示例:你希望测试H5 App在Android和iOS设备上的兼容性。在Android手机和iOS手机上分别打开H5 App,测试各项功能是否正常。记录并修复在不同设备上发现的兼容性问题。 三、总结H5 App的调试与测试是一个复杂而细致的过程,涉及多个方面和工具。 通过合理使用开发者工具、远程调试、日志输出等方法进行调试,以及进行功能测试、性能测试和兼容性测试,可以确保H5 App的稳定性和用户体验。希望本文的介绍和示例能对你的H5 App开发有所帮助。
1.4K10编辑于 2024-11-29 - 来自专栏日常活动篇
H5 App实战十一: H5 App的部署与发布
正文在前面的教程中,我们已经完成了H5 App的开发工作,从需求分析、设计、编码到测试,每一步都至关重要。现在,我们迎来了项目的最终阶段——部署与发布。 下面,我们将详细探讨H5 App的部署与发布过程,并提供实际操作的示例。一、部署前的准备1.代码优化与清理去除调试信息:确保代码中无多余的console.log或其他调试语句。 静态网站托管:如GitHub Pages、Vercel等,适合纯静态内容的H5 App。小程序平台:如微信小程序、支付宝小程序等,需遵循各自平台的发布规则。 选择包含H5 App代码的仓库,点击“Import”。2.配置项目Vercel会自动检测项目中的package.json或vercel.json文件,进行初步配置。 5.发布与通知确认一切无误后,将Vercel提供的部署链接更新为你的应用域名。通过社交媒体或应用内通知告知用户新版本已上线。通过以上步骤,你的H5 App就完成了从开发到部署再到发布的完整流程。
95710编辑于 2024-12-01 - 来自专栏安恒信息
E安全App 2.0越级版App Store正式上线
虽然网络与信息安全的从业者越来越多,线上、线下的活动也越来越多,但到目前为止,还没有一款真正面向信息安全专业学生、从业者、爱好者的手机APP软件。 E安全App今日迎来全新2.0越级版,让用户轻松“掌握”信息安全。E安全2.0越级版更新了全新界面。新的界面带来的新图标简单严谨,更加直观,增加了一些人性化的界面设置。 ,同时通过E安全App安全课程和安全课程栏目,用户也可以实现随时随地在线学习各类信息安全课程,为用户提供更为方便快捷信息安全资料查找的服务。 E安全APP官网:http://www.easyaq.com E安全APP下载: ? E安全App由中国信息安全测评中心和安恒信息联合开发。
1.6K60发布于 2018-04-11 - 来自专栏APP开发
原生APP与H5 APP开发的对比
原生APP与H5 APP开发的核心差异体现在 性能、用户体验、开发成本、功能扩展性、维护与迭代 等多个维度,两者适用于不同的业务场景和需求优先级。以下是系统化的对比分析。 H5 APP(Hybrid App或Web App):基于Web技术(HTML5+CSS+JavaScript)开发,运行在浏览器内核(如WebView)中,通过混合开发框架(如Cordova、Ionic 、React Native的WebView模式)打包成APP,或直接以网页形式访问(纯H5)。 H5:营销活动页(如电商大促的H5海报)、企业宣传官网(内容为主,无需复杂交互)。3. 开发成本与周期原生:大型企业级应用(如银行APP的安全模块)、长期维护的复杂产品(如社交平台)。 选H5 APP:若优先级是 低成本、快速上线、内容驱动(如营销活动、企业宣传、简单工具)。选混合/跨平台:若需兼顾 开发效率与性能(如大部分中大型商业APP,通过混合开发平衡体验与成本)。
54510编辑于 2025-09-12 - 来自专栏向治洪
安全退出app,activoty栈管理
以上几个例子都涉及到了 --- 如何安全退出多个ACTIVITY 这个问题。 Application : 全局的使用 4.Activity: onActivityResult(int requestCode, int resultCode, Intent data)方法 5. 方案5: 方法:通过Activity跳转中传递requestCode的之后根据onActivityResult(int requestCode, int resultCode, Intent data /** 关闭时候的resultCode请求码 */ public final static int FINISH_RESULTCODE = 1; /** * 方法5通过回调关闭的时候用到 ); } }); 优缺点: 方案6(不推荐) 方法:方法有人说可以使用抛出异常来退出,可是这样会影响到用户体验,所以不推荐 总结 以上便是我从注册流程分析如何安全退出多个
1.2K100发布于 2018-01-30 - 二、导航设计:简洁明了,易于操作导航是H5 App中用户与页面之间互动的桥梁。一个优秀的导航设计,能够让用户轻松找到所需内容,提升用户体验。 希望本教程能够帮助你更好地理解和构建H5 App的页面结构与导航。如果你有任何疑问或建议,请随时与我联系。让我们一起努力,打造更加优秀的H5 App!来自专栏日常活动篇
H5 App实战二:H5 App的页面结构与导航
正文在H5 App的开发中,页面结构与导航是构建App骨架的关键。它们不仅决定了用户如何与App互动,还影响着App的整体用户体验。 一、页面结构:层次分明,逻辑清晰H5 App的页面结构通常包括首页、列表页、详情页、个人中心等几个核心部分。每个部分都有其特定的功能和作用,共同构成App的完整框架。 示例:一个简单的H5 App页面结构<! -- 个人中心内容 --> </main>
92510编辑于 2024-11-22
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号