展开

关键词

APP合规

背景介绍 APP合规的监管机构:APP违法违规收集使用个人信息治理工作组(APP治理小组)、工业和信息化部信息通讯管理局(工信部)、国家移动互联网应用管理中心(病毒中心)、地方通信局、地方网 APP应用合规需要关注问题 在开发并上架APP项目时需要重点关注:程序自身保护、运行环境、身份认证、数据存储、内部组件、恶意攻击这六大问题。 ? APP如何做好基础防护? 为了让我们开发的APP能过合规检测,我们需要重点关注如下五点,让我们的APP更加。 ? APP合规建设的思考 开发人员:熟悉负责的产品功能、了解个人 信息采集、使用和展示定制个人隐私政策,并对组员以及APP开发团队进行合规的要求以及做法进行做宣传以及合规应用和监督把控。 软件开发人员:熟悉了解APP应用客户端合规所涉及的技术信息,避免出现漏洞。 QA:根据合规的标准进行做验证测试,严格把控APP质量,守好APP应用上架的最后一道防线。

58321

App测试

APP威胁 在App项目中都会碰到三座App大山。App客户端、数据传输App服务端。下面以分析检测的思路进行对App威胁的这三座大山进行一些剖析梳理总结。 通过上图静态分析App的java实现代码,可以很清晰的看到代码中有实现对root检测,通过检测可以改root的关键App包和检测root后的有关键路径方式进行判断环境信息。 间共享数据,比如通讯录; Broadcast Receiver:注册定事件,并在其发生时被激活。 本地数据检测 App本地数据性问题需要关注的问题分别为:App所在目录的文件权限、SQLite数据库文件的性、敏感数据明文直接存储Sdcard。 App服务器 App服务端需要关注的是服务端API、业务逻辑、中间件、服务器应用。主要可以通过渗透测试的方式对App的服务器进行检测,通过模拟恶意攻击方式进行对服务器攻击。

22231
  • 广告
    关闭

    90+款云产品免费体验

    提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    :SBOM的

    综上所述,我们相信关于 Flux 及其性考虑和性的博客系列是合适的,我们将从讨论 SBOM 开始。 SBOM 是什么? 那些看似开销很大、不必要的记录,很快就会变成有用的信息,因为它允许你: 验证工件的来源和完整性 容易地检查依赖项的 CVE 和已知问题 获得完整供应链的整体视图,了解你堆栈的依赖关系和开源项目使用状况 SBOM 用例 以下是一些更具体的例子,说明了 Flux 的 SBOM: 依赖项的警报将是最明显的用例。如果检测到 CVE,你可以检查 SBOM,并查看你正在使用的组件是否受到任何方式的影响。 这样,你可以搜索: 从已知有问题的定 Github 提交构建的镜像。 由某个被入侵的构建器的某个版本构建的所有镜像。 在项目中找到所有受 CVE-1234 影响的镜像。 ] notification-controller 0.21.0[24] 0.21.0[25] source-controller 0.21.2[26] 0.21.2[27] 这只是我们为确保你们的而采取的又一项措施

    12320

    iOS App 测试

    一、数据存储 主要从以下几个方面考虑 Sandbox 数据存储 Keychain 数据存储 Console Log 数据 Keyboard 缓存 1. Sandbox 数据存储 (1) Sandbox 文件存储结构 SubDirectory Description AppName.app 存储 app 执行文件和静态资源文件,改文件夹为只读 Documents App的配置文件等,该文件夹的内容会被同步到backup文件中 Library Application support files Library/Preference App specific preferences Keyboard cache 二、 数据通信 测试工具: BurpSuite 装和使用请参见http://docs.alibaba-inc.com:8090/pages/viewpage.action :application:openURL和application:handleOpenURL 测试点: openURL的方法实现中有没有对传入的URL参数做校验 openURL有没有校验URL来源是否

    6.1K40

    App二三事

    为什么要 现在几乎所有App都是网络强相关的,客户端展示的很多东西都是通过接口从服务器上获取的,当然,服务器也会接收大量从客户端上传的数据,这两端在进行双向通信的时候,就很容易被第三方截获,导致数据被盗取 App的移动主要包括下面几种: 密钥破解,导致本地加密数据被盗取 通信密钥破解,导致接口数据被盗取 伪造接口数据上报 接口签名被破解,导致接口可以被重放攻击 那么归结起来,实际上就是这样几种模式: 真的有这样的值,那也一定会吸引那些骨灰破解者,毕竟人怕出名猪怕壮。 动态秘钥下发的方案,需要在保证通信协议的情况下,才有实现值,例如某活动页面的刷榜,可以增加一个前置依赖接口用于动态返回秘钥,客户端使用该动态秘钥来进行活动页面的请求,秘钥不存本地,每次请求都是新的秘钥 TCP加密 目前大部分的App都是通过Http来进行数据交互,但基于TCP,我们可以实现自己的通信协议,另外,利用TCP包的无序性来增加破解的难度,这样,利用TCP心跳来维持一个的通信通道,也是一个非常不错的方案

    41120

    App测试—Android测试规范

    本地数据库注入/文件遍历检测 风险:获取或者篡改app中存储的敏感信息,如手机号、账号、密码等,在业务运行操作时无法保证数据。 WebView组件测试 WebView是Android系统提供能显示Web页面的系统控件,例如混合类型的App中H5界面就是使用了WebView组件。 别是PF_INET类型的网络socket,可以通过网络与Android应用通信,其原本用于linux环境下开放网络服务,由于缺乏对网络调用者身份或者本地调用者的检查机制,在实现不当的情况下,可以突破 数据的完整性进行校验 风险 App向服务器提交的数据易被中间人篡改,对用户数据的完整性造成影响,如用户信息被破解利用等问题。 键盘劫持测试 风险: 攻击者可以通过劫持键盘窃取用户输入数据,可能带来用户账号密码、敏感数据等泄露的风险,别是银行金融类App

    78241

    APP检测手册

    前言 随着运营商新技术新业务的发展,运营商层面对的要求有所变化,渗透测试工作将会面临内容、计费、业务逻辑及APP等方面的挑战。 随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的性将面临越来越多的挑战。 为有效的针对上述各种威胁进行有效防范,保障运营商和客户的业务,本手册将着重从下表所列项目针对APP应用(卓)进行检测。 成功的反编译将使得攻击者能够完整地分析APP的运行逻辑,尤其是相关业务接口协议、和通信加密的实现。 2.2.2 名词解释 smali语言是一种Android系统有的中间代码语言。 7.1.5 建议 当系统允许用户设置弱密钥时为低风险,如果存在系统存在一定的策略(使用数字,大小写字母,下划线,殊字符组合,且至少为 8位)时无风险。

    1.4K31

    APP应用检测

    背景 目前APP发包上架的流程前,免不了需要对APP应用检测这个重要且必不可少的步骤流程,APP应用检测大部分采用采购第三方的APP检测产品(因为这块技术基础储备),也有部分企业基于开源的移动框架 (MobSF)进行二次开发APP检测产品(采购第三方产品费用太高),也有部分团队基于团队的技术储备进行基于逆向第三方APP检测产品进行开发自研的APP检测产品(采购第三方检测产品)。 APP自身检测 APP自身检测主要检测APP是否采用第三方加固产品进行加固或者有对APP进行做保护。 病毒检测主要是调用用一些第三方公开的病毒扫描引擎,进行检测 病毒库中的病毒征扫描比对。 总结 APP检测主要在两方向检测,一个APP自身性方面检测,一个是合规性检测。 APP自身性检测的一个很重要的检测在于APP是否进行采用第三方加固产品进行对APP检测。

    14330

    APP漏洞测试 如何对APP进行方位的漏洞检测

    客户网站以及APP在正式上线之前,都会找专业的公司进行测试,检测网站、APP是否存在漏洞,以及一些隐患,大多数的运营者觉得装一些防护软件就足以防止攻击了,越这样,网站APP越容易受到篡改数据 测试是对网站、APP应用(android,ios)进行面的检测与漏洞扫描,模拟攻击者的手法,切近实战,人工检查网站APP存在的漏洞,最后评估生成报告,简单来概括也叫黑箱测试,在没有客户提供的网站源代码以及服务器管理员权限的情况下 我们SINE在对客户网站、APP进行渗透测试之前,都需要获取客户的授权,再一个确认客户的网站是否是客户的,验证所有权,再授权我们进行渗透,授权相当于甲方公司同意对乙方对旗下的网站域名,以及 APP进行远程的黑箱,白箱的渗透测试,双方公司盖章,电子签或快递签,开始服务。 APP测试方面包含APP反编译测试,APP脱壳漏洞,APP二次打包植入后门漏洞,APP进程检测,APP appi接口的漏洞检测,任意账户注册漏洞,短信验证码盗刷,签名效验漏洞,APP加密/签名破解

    75210

    Android之APP测试篇

    android:exported Service组件的设置错误可以被第三方APP任意调用,导致敏感信息泄露,并可能受到权限提升、拒绝服务等风险 Content provider组件 反编译 当Content Provider组件可以被第三方app任意调用时,会导致敏感信息泄露,并可能受到目录遍历、SQL注入等攻击等风险。 Broadcast receiver该属性的配置错误可能会导致敏感信息泄漏,本地拒绝服务器漏洞、有序广播导致的问题。 ‍ ‍ ‍ ‍ 0x02:测试框架‍‍‍ 推荐一个:移动漏洞测试框‍架(MobSF)是一种自动化的多合一移动应用程序(卓/苹果/PC端)可以进行静态和动态分析的测试,恶意软件分析和评估框架。 谷歌自带翻译,有点乱 该工具还支持动态分析 0x03:ADB测试 推荐工具(Drozer) Drozer是一款Android测试框架。 是目前最好的Android测试工具之一。

    74431

    Android之APP测试篇

    android:exported Service组件的设置错误可以被第三方APP任意调用,导致敏感信息泄露,并可能受到权限提升、拒绝服务等风险 Content provider组件 反编译 当Content Provider组件可以被第三方app任意调用时,会导致敏感信息泄露,并可能受到目录遍历、SQL注入等攻击等风险。 Broadcast receiver该属性的配置错误可能会导致敏感信息泄漏,本地拒绝服务器漏洞、有序广播导致的问题。 ‍ ‍ ‍ ‍ 0x02:测试框架‍‍‍ 推荐一个:移动漏洞测试框‍架(MobSF)是一种自动化的多合一移动应用程序(卓/苹果/PC端)可以进行静态和动态分析的测试,恶意软件分析和评估框架。 ‍‍ 谷歌自带翻译,有点乱 该工具还支持动态分析 0x03:ADB测试 推荐工具(Drozer) Drozer是一款Android测试框架。 是目前最好的Android测试工具之一。

    49710

    Android APP防护总结

    组件 四大组件的防护其实无非就是访问权限控制。 在创建组件时,如果是私有的组件,android:exported属性一律设置为false。 这里对LocalBroadcastManager说明一下,其基于Handler实现的,拥有更高的效率与性。性主要体现在数据仅限于应用内部传输,避免广播被拦截、伪造、篡改的风险。 编码 编码就是反编译,反编译不好防,只能提高破解难度,例如加固、混淆、so文件函数加密等等。反编译后能干什么? (比如我爱我家APP被挂博彩),我觉得这个很有必要,不仅仅是因为,包括微信公众号,googleplay 都在强制要求开发者必须使用HTTPS。 自定义键盘 关于这一点,其实笔者不知道此做法对性有多大作用,我也意去下载了一些热门应用做调查,发现还是比较多APP应用使用手机自带的或默认的键盘,所以笔者不清楚其危害性有多大,个人觉得可有可无。

    56820

    APP测试点概述

    1.4 权限设置检查 一般用户对自己的隐私问题十 分敏感,因此,我们需要对APP申请某些定权限的必要性进行检查,如访问通讯录等。对于没有必要的权限,一般都建议开发直接移除。 日志是否存在敏感信息,一般开发在写程序的过程中会加入日志帮助高度,所有可能会写入一些敏感信息,通常APP的发布版不会使用日志,但也不排除殊情况。 三、软键盘劫持 如果用户装了第三方键盘,可能存在劫持情况,对此,我们在一些别敏感的输入地方可以做检查,例如金融类APP登录界面的用户名密码输入框等,看是否支持第三方输入法,一般建议使用应用内的软键盘 那就是接口B完信任了客户端传入的金额总而未做校验。恶意用户可以直接调用接口B,传入伪造的金额和真实订单号,这样就能以便宜的格购物。 7)应用程序应考虑或者虚拟机器产生的用户提示信息或警告 8)应用程序不能忽略系统或者虚拟机器产生的用户提示信息或警告,更不能在警告显示前,利用显示误导信息欺骗用户,应用程序不应该模拟进行警告误导用户

    46221

    研究的值思考

    研究都干啥 研究并不局限于漏洞领域,但它依然是目前最主流的方向,研究范围也可以包括网络、反病毒、大数据、业务等诸多领域。 自动化测试等的应用 从招聘职责看研究目的 谈研究值,不妨先来谈谈研究的目的,我意从各招聘网站上搜集了一些关于研究岗位的招聘信息,主要统计其岗位职责描述的关键词,生成如下词云: ? 影响力值 搞研究,普遍都是为了影响力公关(PR),国内外均是如此,BlackHat上的Pwnie Awards都有一个“最名不副实漏洞奖”,叫做"most over-hyped bug",就是用来批评那些过度炒作的漏洞 行业贡献 在行业贡献榜上,Project Zero无疑是佼佼者。在5年内,他们共贡献1500+个主流系统/软件漏洞,推动很多防御机制的诞生,甚至影响漏洞在市场上的格。 漏洞研究者有时担心手上的漏洞被撞掉,会直接报给厂商,混个致谢,搞不好年底还能混个"MSRC Top 100",今年开始它改名叫"最具研究员",更高大上了。

    22610

    退出app,activoty栈管理

    (2)客户端交互中,返回首页按钮,由于在频繁的点击打开过多的界面(如微信查看朋友圈),返回首页就必须一个一个back回去,所有有的客户端为了优化用户体验,便会加入一个按钮返回首页(之前打开的部关闭)。 以上几个例子都涉及到了   ---   如何退出多个ACTIVITY    这个问题。 优缺点: 缺:如果处理不当,容易造成不在当前界面的Activity被局引用而摧毁不掉,内存得不到释放,从而无故占用不必要的内存。 优缺点: 缺:如果处理不当,容易造成不在当前界面的Activity被局引用而摧毁不掉,内存得不到释放,从而无故占用不必要的内存。 );       }   });   优缺点: 方案6(不推荐) 方法:方法有人说可以使用抛出异常来退出,可是这样会影响到用户体验,所以不推荐 总结 以上便是我从注册流程分析如何退出多个

    530100

    你需要了解的APP

    怎样的APP的呢? 只要攻击者所花费的时间成本和精力超过其攻击逆向破解后获取到的收益,那么你的APP就相对。 对于个人开发者或者某些小企业开发者而言,APP的始终是一件让人非常头疼的事情。下面我以开发角度出发,进行梳理了一个APP需要关注的APP的问题(没有绝对的)。 应用 在开发APP过程中,不的代码编写方式和没有周考虑到相应的性,从而给开发的APP带来一定的风险,那么应用这个最重要的需要关注哪些方面? 应用主需要关注:二进制、敏感数据、敏感资源、完整性、证书存储。这五个方面处理的好会一定程度提高APP性,下面就对这五方面进行做个详细分析。 ? 二进制 ? 1. 检测root的方式:有刷root工具的包名称、有root的文件路径。 2. 反注入检测 目前主要的注入: zygote属于局注入(xposed工具)、ptrace单进程注入(frida工具)。

    29251

    APP接口设计要点

    总结了一些APP接口设计的要点供大家参考,如有疏漏请在评论里面提醒补充! 用白名单的方式验证数据合法性,也就是根据一系列已知的正确值或规则来验证请求数据,不尝试检验某些定的错误。

    19220

    币交易

    在比币网络的现状中,这是可能的,但是需要访问非常专业的芯片,但这会使难度增加。 多年前,Meni Rosenfeld写下了一个模型,该模型捕获了比币中的自引用模型。 假设攻击者不能捕获超过10%的网络,等待6次确认意味着168,000比币(目前值约为5040万美元)的交易是的。 由于协议中的计算科学参数都是固定的,所以这种比币网络性的方法仅基于经济学,即共识算法 - 链选择规则。 我们假设幼稚的攻击者拥有的网络哈希率的比例比较低,那么似乎比币为网络上的大多数交易提供足够的性。但是,比币网络的性并不会因为中心化的威胁和放置比相关货币单位更有值的资产的可能性而增强。 根据经济学,链的性是自我参照的。可以用比币计算的值量与其所包含的费用数量和奖励金额成正比。我们需要做出一些假设来确定金额,但显然需要更多关于替代协议和采矿中心化挑战的工作。

    42970

    EApp 2.0越级版App Store正式上线

    以信息行业实际需求为中心,纳入移动互联网的鲜活基因,给予广大信息从业人员与爱好者最实用、最便捷,最贴心的使用体验,为其带来更高值的实现,是Eapp的终极追求。 ? 四大核心模块让您“掌握”信息 课程 根据信息行业的性,针对不同需求的相关从业人员进行课程细致分类;行业优秀信息专家录制高清视频课程,满足多层次的信息移动在线培训需求;国内外峰会活动视频一手掌握 ,同时通过EApp课程和课程栏目,用户也可以实现随时随地在线学习各类信息课程,为用户提供更为方便快捷信息资料查找的服务。 EAPP官网:http://www.easyaq.com EAPP下载: ? EApp由中国信息测评中心和恒信息联合开发。

    37560

    相关产品

    • 移动应用安全

      移动应用安全

      移动应用(APP)安全为用户提供移动应用全生命周期的一站式安全解决方案。涵盖移动应用加固、安全测评、安全组件等服务……

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券