安全| 来杯Android安全漏洞压压惊

点击标题下「蓝色微信名」可快速关注

Android系统是个很有意思的OS操作系统，底层linux, 上层用Java, 既可以用c/c++开发，也可以用Java开发。所以搞懂整个android系统实则不容易，年初有几篇说过android sys的文章，后续也讨论过安全相关的理论文章， 本篇实则是针对理论博文列举实际出现的漏洞，进而进行一个个实践解决。

系统层面安全

1 权限使用 2 Root风险 3 APP反编译与逆向

应用层安全

1 组件劫持 2 DNS劫持 3 Webview 安全漏洞 4 APP进程劫持

业务层用户层安全

1 明文传输

2 本地数据泄露 3 业务逻辑被篡改 4 Native代码被攻击

5 使用一套密码 多平台密码撞库

实际遇到的安全漏洞

在本人的开发中，不断的遇到的安全难题，以及参考漏洞盒子爆出的潜在安全漏洞，目前列举几个重要的相关case，方便后续针对性的解决：

1 升级过程全程被劫持 2 DNS劫持，H5页出现恶意广告 3 刷单，刷赞，（api缺失校验） 4 登录界面和支付界面被劫持 5 交易接口劫持定向 6 数据库存在sql注入风险，泄露敏感信息 7 包反编译植入病毒二次打包，或重新打包一个修改业务代码的apk伪造目标APP。 8 应用运行信息可被全程HOOK 9 安卓客户端存在密码撞库风险 10 本地ddos拒绝服务攻击 11 客户端设计缺陷可导致中间人攻击

12 数据信息随意开放，泄露用户隐私

上面的漏洞其实是很常见的，够我们喝一壶的了，怎么解决也是个比较重要的话题，如果有兴趣关注这块的朋友可以订阅本订阅号，后续会继续推出相关文章。

国外的一篇建议文章: <安全具体编码实践>：

https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=111509535

猜你喜欢

Andrroid安全要点与规范

技术 - 资讯 - 感悟

END