2024年Android安全——客户端安全要点(2),2024年最新送大厂面经一份

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

近期facebook的隐私泄露事件再度唤起了公众对隐私的关注,在这个越来越重视个人隐私的时代里,安全早已是一个无法绕开的话题。

作为一个开发人员,必须具备安全意识,掌握基础的安全知识,为打造更加安全的应用做出努力。本文浅谈Android客户端的安全问题,涉及组件、WebView、存储、传输、日志、混淆、应用加固等安全漏洞及防护策略,运用更加合理的配置与防护措施来提高应用的安全级别。

二、组件安全:


规范安卓标准组件(Activity、Service、Receiver、Provider)的访问权限。

这里提到的组件访问权限主要是指跨应用的进程间通信(IPC,Inter-Process Communication),开发者可以限定应用内的组件是否允许被其他应用调起,或接收来自外部应用的数据,或者访问我们的数据。并且必须对来自外部应用的数据做校验处理,避免来自外部攻击。如恶意调用组件、广播数据攻击、恶意访问数据等等。

  • 设置权限开放属性:android:exported=[“true” | “false”]

exported属性为四大组件共有属性,其中含义大同小异。默认值由其包含 与否决定。若未包含,默认为“false”,若存在至少一个,则默认值为“true”。

在Activity中:

表示是否允许外部应用组件启动。若为“false”,则 Activity 只能由同一应用或同一用户 ID 的不同应用启动。

在Service中:

表示是否允许外部应用组件调用服务或与其进行交互。若为“false”,则 Activity 只能由同一应用或同一用户 ID 的不同应用启动。

在Receiver中:

表示是否可以接收来自其应用程序之外的消息,如来自系统或或其他应用的广播。若为“ false”,则广播接收器只能接收具有相同用户ID的相同应用程序或应用程序的组件发送的消息。

在Provider中:

表示是否允许其他应用程序访问内容提供器。若为“false”,则具有与Provider相同的用户ID(UID)的应用程序才能访问它。如果需要给其他应用程序提供内容,则应当限定读写权限。

  • 配置自定义权限

1、在AndroidManifest.xml中定义一个名称为com.fedming.demo.ACCESS的权限:

<permission android:description=“string resource”

android:icon=“drawable resource”

android:label=“string resource”

android:name=“com.fedming.demo.ACCESS”

android:permissionGroup=“string resource”

android:protectionLevel=[“normal” | “dangerous” | “signature” | …] />

2、android:protectionLevel=”signature”表示签名保护级别,“签名”级别权限的内容对用户完全透明开放,而且只有由执行权限检查的应用的开发者签名的应用才可访问这些内容。

3、应用到四大组件或者Application中android:permission=”com.fedming.demo.ACCESS”,即可实现对非同一签名应用的限制性访问。一般用于一些内部应用之间共享的私有组件。

使用更加安全高效的LocalBroadcastManager

区别基于Binder实现的BroadcastReceiver,LocalBroadcastManager 是基于Handler实现的,拥有更高的效率与安全性。安全性主要体现在数据仅限于应用内部传输,避免广播被拦截、伪造、篡改的风险。简单了解下用法:

  • 自定义BroadcastReceiver

public class MyReceiver extends BroadcastReceiver {

@Override

public void onReceive(Context context, Intent intent) {

//Do SomeThing Here

}

}

  • 注册Receiver

MyReceiver myReceiver = new MyReceiver();

LocalBroadcastManager localBroadcastManager = LocalBroadcastManager.getInstance(this);

IntentFilter filter = new IntentFilter();

filter.addAction(“MY_ACTION”);

localBroadcastManager.registerReceiver(myReceiver, filter);

  • 发送本地广播

Bundle bundle = new Bundle();

bundle.putParcelable(“DATA”, content);

Intent intent = new Intent();

intent.setAction(“MY_ACTION”);

intent.putExtras(bundle);

LocalBroadcastManager.getInstance(context).sendBroadcast(intent);

  • 在Activity销毁时取消注册

@Override

protected void onDestroy() {

super.onDestroy();

localBroadcastManager.unregisterReceiver(myReceiver);

}

Application相关属性配置

  • debugable属性 android:debuggable=[“true” | “false”]

很多人说要在发布的时候手动设置该值为false,其实根据官方文档说明,默认值就是false。

  • allowBackup属性 android:allowBackup=[“true” | “false”]

设置是否支持备份,默认值为true,应当慎重支持该属性,避免应用内数据通过备份造成的泄漏问题。

三、WebView安全


  • 谨慎支持JS功能,避免不必要的麻烦。

提到对于Android4.2以下的JS任意代码执行漏洞,Android4.2以下?不必支持了吧!

  • 请使用https的链接,第一是安全;第二是避免被恶心的运营商劫持,插入广告,影响用户体验。

  • 处理file协议安全漏洞

//若不需支持,则直接禁止 file 协议

setAllowFileAccess(false);

setAllowFileAccessFromFileURLs(false);

setAllowUniversalAccessFromFileURLs(false);

  • 密码明文保存漏洞

由于webView默认开启密码保存功能,所以在用户输入密码时,会弹出提示框,询问用户是否保存。若选择保存,则密码会以明文形式保存到 /data/data/com.package.name/databases/webview.db中,这样就有被盗取密码的危险。所以我们应该禁止网页保存密码,设置WebSettings.setSavePassword(false)

  • 开启安全浏览模式

<meta-data android:name=“android.webkit.WebView.EnableSafeBrowsing”

android:value=“true” />

启用安全浏览模式后,WebView 将参考安全浏览的恶意软件和钓鱼网站数据库检查访问的 URL ,在用户打开之前给予危险提示,体验类似于Chrome浏览器。

四、数据存储安全;


  • 秘钥及敏感信息

此类配置应当妥善存放,不要在类中硬编码敏感信息,可以使用JNI将敏感信息写到Native层。

  • SharePreferences

首先不应当使用SharePreferences来存放敏感信息。存储一些配置信息时也要配置好访问权限,如私有的访问权限 MODE_PRIVATE,避免配置信息被篡改。

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

  • 9
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值