前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >安全| 来杯Android安全漏洞压压惊

安全| 来杯Android安全漏洞压压惊

作者头像
开发者技术前线
发布2020-11-23 14:57:58
3370
发布2020-11-23 14:57:58
举报
文章被收录于专栏:开发者技术前线

点击标题下「蓝色微信名」可快速关注

Android系统是个很有意思的OS操作系统,底层linux, 上层用Java, 既可以用c/c++开发,也可以用Java开发。所以搞懂整个android系统实则不容易,年初有几篇说过android sys的文章,后续也讨论过安全相关的理论文章, 本篇实则是针对理论博文列举实际出现的漏洞,进而进行一个个实践解决。

系统层面安全

1 权限使用 2 Root风险 3 APP反编译与逆向

应用层安全

1 组件劫持 2 DNS劫持 3 Webview 安全漏洞 4 APP进程劫持

业务层用户层安全

1 明文传输

2 本地数据泄露 3 业务逻辑被篡改 4 Native代码被攻击

5 使用一套密码 多平台密码撞库

实际遇到的安全漏洞

在本人的开发中,不断的遇到的安全难题,以及参考漏洞盒子爆出的潜在安全漏洞,目前列举几个重要的相关case,方便后续针对性的解决:

1 升级过程全程被劫持 2 DNS劫持,H5页出现恶意广告 3 刷单,刷赞,(api缺失校验) 4 登录界面和支付界面被劫持 5 交易接口劫持定向 6 数据库存在sql注入风险,泄露敏感信息 7 包反编译植入病毒二次打包,或重新打包一个修改业务代码的apk伪造目标APP。 8 应用运行信息可被全程HOOK 9 安卓客户端存在密码撞库风险 10 本地ddos拒绝服务攻击 11 客户端设计缺陷可导致中间人攻击

12 数据信息随意开放,泄露用户隐私

上面的漏洞其实是很常见的,够我们喝一壶的了,怎么解决也是个比较重要的话题,如果有兴趣关注这块的朋友可以订阅本订阅号,后续会继续推出相关文章。

国外的一篇建议文章: <安全具体编码实践>:

https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=111509535

猜你喜欢

Andrroid安全要点与规范

技术 - 资讯 - 感悟

END

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2017-04-28,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 开发者技术前线 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档