文章列表
根据国内专业PP漏洞检测平台爱内测(www.detect.cn)介绍,目前关于APP漏洞检测有以下6种功能检测方法: 组件安全检测 对四大组件和WebView的规范使用检测分析,发现因为程序中不规范使用导致的组件漏洞。 代码安全检测 对dex和so库以及第三方加载库的代码的安全处理进行检测分析,发现代码被反编译和破解的漏洞。 内存安全检测 检测APP运行过程中的内存处理和保护机制进行检测分析,发现是否存在被修改和破坏的漏洞风险。 数据安全检测 对数据传输、加载、存储、会话等过程进行漏洞检测,发现数据存储和处理过程中被非法调用、传输和窃取漏洞。 业务安全检测 对用户登录,密码管理,支付安 ...
1)看风景 程 序员每天在液晶屏幕下工作很长时间,应该让干涩的眼睛得到好好的放松,偶尔看看窗外的绿树或远处的风景可能是不错的方式,但是这在北京上海广州这样的大城 市里不太现实,所以这里推荐一个纯粹的分享旅行照片的网站「画旅途」,上面都是网友们上传的高质量旅行照片;看着世界各地的迷人风景,欣赏着动人的旅途故 事,听着悦耳的背景音乐,是非常不错的放松方式。 http://www.hualvtu.com 2)看美女 专门为男程序员/ 送上的福利,据说男人每天看美女十分钟可延长寿命,因此这里推荐一个以美女写真/
<!--[if gte mso 9]><xml><w:WordDocument><w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel><w:DisplayHorizontalDrawingGridEvery>0</w:DisplayHorizontalDrawingGridEvery><w:DisplayVerticalDrawingGridEvery>2</w:DisplayVerticalDrawingGridEvery> ...
这是本人在网上下载的一个apk文件,在爱内测(www.detect.cn)做的检测得到的报告~~~~ 报告太长了,有21页那么多。。。只能截取部分给大家看看。。
Apk反编译方法——代码混淆
- 博客分类:
- 转载
Apk反编译方法——代码混淆
作为Android应用开发者,不得不面对一个尴尬的局面,就是自己辛辛苦苦开发的应用可以被别人很轻易的就反编译出来。
Google似乎也发现了这个问题,从SDK2.3开始我们可以看到在android-sdk-windows\tools\下面多了一个proguard文件夹
proguard是一个java代码混淆的工具,通过proguard,别人即使反编译你的apk包,也只会看到一些让人很难看懂的代码,从而达到保护代码的作用。
下面具体说一说怎么样让SDK2.3下的proguard.cfg文件起作用,先来看看android-sdk-win ...
给大家分享一个Apk反编译的例子
- 博客分类:
- 讨论
近期总是频频出现某某网站、某某应用被攻击被破解的新闻。安全问题,很大程度上可能是开发者犯下的低级错误,安全无小事,所有app开发者都应重视。下面由小编整理出的反编译方法,给大家分享分享。
下面就是反编译出来的一个java方法
1. .method public restartGL(Landroid/view/SurfaceHolder;)Ljavax/microedition/khronos/opengles/GL;
2. .locals 1
3.
4. invoke-direct {p0}, Lcom/ideaworks3d/airplay/Ai ...
近期总是频频出现某某网站、某某应用被攻击被破解的新闻。安全问题,很大程度上可能是开发者犯下的低级错误,安全无小事,所有app开发者都应重视。下面由小编整理出的反编译方法,给大家分享分享。
下面就是反编译出来的一个java方法
1. .method public restartGL(Landroid/view/SurfaceHolder;)Ljavax/microedition/khronos/opengles/GL;
2. .locals 1
3.
4. invoke-direct {p0}, Lcom/ideaworks3d/airplay/Ai ...
由于Android系统开源架构特性,安卓移动应用成为恶意病毒攻击的重点目标。最新调查显示, 绝大多数手机应用都存在着移动应用安全漏洞,这可能会导致它们在未来感染严重的恶意病毒。接下来我们来看一份检测报告是以什么方式进行检测分析的。
爱内测的一份报告。
报告中详细指出了apk文件中主要存在的安全问题,以及修复漏洞的建议,文中采用的智能检测方法通过Android组件检测、权限管理、dex保护、数据安全(传输、存储、输出)检测,以及危险调试信息等常见的漏洞风险检测:
全面深入检测应用/一键生成检测报告/专业安全修复建议
应用安全进行扫描,包括:
— Activ ...
一、Superuser环境变量设置漏洞
【影响产品】
在 Android <= 4.2.x 已root过的系统上使用到以下授权管理应用的都可能受影响:
1、ChainsDD Superuser (当前版本,包括v3.1.3)
2、CyanogenMod/ClockWorkMod/Koush Superuser (当前版本,包括v1.0.2.1)
3、Chainfire SuperSU v1.69以前的版本
【漏洞原理】
1、 伪造包含恶意shell代码的app_process,该shell代码将/system/bin添加到环境变量 ...
最近总是听到一些应用不安全,被二次编译打包,然后再放到应用市场里给大家使用。起初我还不信,可是听多了不免也好奇,那么今天我就在游戏市场下载了大家比较常见的消消乐在不同的平台做的一个检测结果做一个实验吧(具体游戏名称我也不好直说,大家就看看检测的结果就好了)。
360手机app检测http://scan.soui.360.cn/(给出的结果,好像也没有多大的建议)
腾讯手机管家http://m.qq.com/(这是怎么回事??)
安全管家查毒http://www.guanjia.com(这是安全的。。
随着第二届国家网络安全宣传周进入倒计时,各大主流网站都在力推与之相关的活动与报道,全面细致并各有侧重地解读网络安全宣传周,普及网络安全知识,方便广大网络用户。目前,除了中国网信网的专题页作为本届宣传周的官方网站外,百度、360、新华网、央广网、腾讯、凤凰网、网易、新浪、搜狐,以及优酷、土豆、爱奇艺等综合门户和视频网站都开设了专题页面,跟进报道本届宣传周开展的各项活动及最新进展情况。
通过百度、360搜索“第二届国家网络安全宣传周”关键词,您均可以了解到最新的活动信息和新闻报道。
新华网可在首页点击“网络安全”直接进入专题页面,专题设置了聚焦、视频、观点评论、专家谈等栏目。
...
漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏洞、file跨域访问等。
本报告选取11类android app中同等数量的热门app,其活跃用户量可覆盖83%的移动端网民,根据阿里巴巴移动安全中心对这些app的漏洞检测,得到以下结论:
参与检测的android app中,近97%的app都存在漏洞问题,且平均漏洞量高达40个。
安全类app漏洞问题最多,其漏洞总量499个,占所有类别app漏洞总量的21%。
新闻、旅游 ...