2016年11月_编程圈子

12月 11月 10月 09月 08月 07月 06月 05月 04月 03月 02月 01月

原创 Android Monkey测试手记

简介Monkey测试是一个APP的压力测试工具特性测试的对象仅为应用程序包测试使用的事件流数据是随机的，不能自定义可对MonkeyTest的对象、事件数量、类型、频率进行设置用法基本语法 $adb shell monkey [options]不指定options的情况下，Monkey以无反馈模式启动，并把事件任意发送到安装在目标环境中的全部包。示例： $adb shell monkey

2016-11-30 10:18:23 452

原创 AndroidManifest allowBackup配置风险

背景2012年Android 2.2 Froyo系统中，谷歌引入了系统备份的功能，允许用户备份系统应用和第三方应用的APK安装包和应用数据。第三方应用需要在AndroidManifest.xml中配置allowBackup（默认true）。当这个标志被设置为true时，应用程序数据可以在手机未root的情况下，通过adb调试工具来备份和恢复，因此攻击者可以利用这个漏洞在接触用户手机的情况下短时间

2016-11-21 08:39:44 599

原创网站加速方案

一、加速思路代码优化压缩输出内容缓存输出函数缓存输出加速/缓存工具软件 1．减少连接数 HTTP1.1协议里，一个浏览器窗口会打开2个连接。不同的浏览器和版本，就此限制有所区别。减少弹出窗口，可以有效增加服务器连接数。在不是必要的地方，减少弹出窗口。其它网站做图片友情链接的时候，不要把图片链接到本站。 2．能用Cookie的地方，不要用Session Session在服务器需要

2016-11-20 14:20:09 1224

转载 Android安全开发之安全使用HTTPS

1、HTTPS简介阿里聚安全的应用漏洞扫描器中有证书弱校验、主机名弱校验、webview未校验证书的检测项，这些检测项是针对APP采用HTTPS通信时容易出现风险的地方而设。接下来介绍一下安全使用HTTPS的相关内容。1.1 为何需要HTTPSHTTP协议是没有加密的明文传输协议，如果APP采用HTTP传输数据，则会泄露传输内容，可能被中间人劫持，修改传输的内容。如下图所示就是典型的APP HT

2016-11-18 08:59:06 2003

转载 Android HTTPS中间人劫持漏洞浅析

作者：行里1. Android HTTPS中间人劫持漏洞描述在密码学和计算机安全领域中，中间人攻击（ Man-in-the-middle attack，通常缩写为MITM ）是指攻击者与通讯的两端分别创建独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容

2016-11-18 08:29:18 1993

原创 Android debugaable值的设置

使用AndroidStudio打包的APK，被检测：在manifest.xml中定义Debuggable项，如果该项被打开，app存在被恶意程序调试的风险，可能导致泄漏敏感信息泄漏等问题。如果在AndroidManifest.xml里写：<application android:debugaable="false"则AndroidStudio提示：Avoid hardcoding the d

2016-11-17 09:54:05 4128 1

说明Android API level 16以及之前的版本存在远程代码执行安全漏洞，源于程序没有正确限制WebView.addJavascriptInterface方法，攻击者可以利用Java Reflection API 执行任意Java对象的方法。最早公布 CVE-2012-6636【1】。影响范围Android API level 小于17（android 4.2以前的系统）漏洞位置WebVi

2016-11-07 15:08:20 1726

原创 Android 安全--WebView不校验证书漏洞

继承关系java.lang.Object 继承者 android.os.Handler 继承者 android.webkit.SslErrorHandler问题方法cancel( )停止加载问题页面proceed( )忽略SSL证书错误，继续加载页面触发条件： 1. 调用SslErrorHandler类的proceed方法【1】对应到smali语句中的特征：Landroid

2016-11-07 14:03:58 6314