加载中…

加载中...

app安全评估

转载 2017-09-28 14:32:31

1、https是否忽略ssl证书错误 (启用ssl pinning API24)

webview.onReceivedSslError​ 和 URLConnection.SSLSocketFactory.getAcceptedIssuers

2、通信是否使用Proxy.NO_PROXY

url.openConnection(Proxy.NO_PROXY),不使用系统代理设置(wifi代理),直接连接服务器,如支付宝应用​(Packet Capture可手机端抓包

3、通信是否加密、加签、二进制流

​除https外,所有通信均对称或非对称加密

加签防篡改

二进制流,无明文显示​

4、​so加密库防任意调用

不需要逆向so库,直接调用加密、加签函数

5、​webview的jsbridge

​minSdkVersion为17即可防反射调用任意命令执行漏洞

getToken等私密接口防止其他域js调用​(url scheme,扫描二维码、页面链接等可以打开其他域页面)

6、对外暴露,泄露隐私信息和app被崩溃

四大组件和url scheme​

7、app升级

https即可

8、重打包防范,proguard混淆

so中判断签名信息是否一致​


其他参考

对抗Android SSLPinning

http://www.nsfocus.com.cn//upload/contents/2015/07/2015_07241441569651.pdf

App客户端劫持及简单防护:

http://blog.nsfocus.net/app-client-hijacking-simple-protection/

APP安全之通信安全

https://mp.weixin.qq.com/s?__biz=MzI5ODE0ODA5MQ==&mid=2652277118&idx=1&sn=3990ec1b576cb72a6c7f385fbead0570#rd



阅读(0) 评论(0) 收藏(0) 转载(0) 举报/Report
相关阅读
加载中,请稍后
zzzzfeng
  • 博客等级:
  • 博客积分:0
  • 博客访问:18,988
  • 关注人气:0
  • 荣誉徽章:

相关博文

新浪BLOG意见反馈留言板 电话:4006900000 提示音后按1键(按当地市话标准计费) 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

新浪公司 版权所有