Android开发规范:App安全规范

于 2024-06-24 15:49:08 发布
阅读量425 收藏 7
点赞数 18
文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84301352/article/details/139928539
版权

每10个娱乐类APP就有9个至少包含一个高危漏洞; ——《FreeBuf:2017年度移动App安全漏洞与数据泄露现状报告》

所以加壳是重中之重,没了壳等于裸奔。建议如果有条件的话还是选择收费版本的加壳软件,毕竟加密的强度会高些,而且还有合同保障。

组件外露

==============================================================

android四大组件Activity、Service、ContentProvider、Broadcast Receiver,有一个android:exported属性。如果是false,那么只能在同一个应用程序组件间或带有相同用户ID的应用程序间才能启动或绑定该服务;如果是true,这该组件可以被任意应用启动或执行,这样就会有组件被恶意调用的风险。

<activity

android:name=“com.androidwind.safe.DemoActivity”

android:exported=“false”

android:label=“@string/app_name” >

如果组件没有包含过滤器intent-filter,那么android:exported属性的值默认是false;如果组件包含了至少一个intent-filter,那么android:exported属性的值默认就是true。

如果必须暴露这些组件,那么需要添加自定义的permission权限来进行访问控制。

<activity

android:name=“com.androidwind.safe.DemoActivity”

android:exported=“true”

android:label=“@string/app_name”

android:permission=“com.androidwind.permission.demoPermission” >

外部应用如果想直接打开DemoActivity,需要在AndroidManifest.xml配置:

webview

=================================================================

由于WebView在低系统版本中存在远程代码执行漏洞,如JavascriptInterface,中间人可以利用此漏洞执行任意代码。

所以app的targetSdkVersion需要大于17,也就是Android版本至少要4.2。

另外需要注意将wenview自动保存密码功能关闭:

webView.getSettings().setSavePassword(false);

logcat日志

==================================================================

有的时候为了方便跟踪用户操作反馈,app端往往会把日志保存在sd卡上,然后在适当的机会将用户日志上传到服务器,然后开发人员可以查看用户日志信息,分析相关的问题。

但是这样做有个很大的风险就是日志里面往往包含了app的一些敏感信息,比如url地址、参数、还有类名,以及用户的使用记录,包括名称、id、聊天记录等等。

虽然app可以做一些操作来减少风险,比如定期删除日志等,但是毕竟这些信息还是外露了,可能被别有用心的人利用。

所以我们对日志输出的要求是:

  1. 不存储在外部,比如手机存储空间;

  2. 测试环境可以在logcat输出日志信息;

  3. 正式环境屏蔽所有日志输出。包括logcat和手机外部存储;

  4. 不使用System.out输出日志;

另外,项目中日志输出需要统一使用同一个日志管理类,不应该存在多个输出日志的类。

网络请求

==============================================================

所有网络请求必须使用https。而且在Android P系统中,默认使用加密连接,所有未加密的连接会受限:

Google表示,为保证用户数据和设备的安全,针对下一代 Android 系统(Android P)

的应用程序,将要求默认使用加密连接,这意味着 Android P 将禁止 App 使用所有未加密的连接,因此运行 Android P

系统的安卓设备无论是接收或者发送流量,未来都不能明码传输,需要使用下一代(Transport Layer

Security)传输层安全协议,而 Android Nougat 和 Oreo 则不受影响。

如果使用http连接,那么会返回如下错误信息:

//http在使用HttpUrlConnection时遇到的异常 W/System.err: java.io.IOException:

Cleartext HTTP traffic to **** not permitted //http在使用OkHttp时遇到的异常

java.net.UnknownServiceException: CLEARTEXT communication ** not

写在最后

在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

2401_84301352
关注
  • 18
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
移动应用APP安全开发要求、安全检测标准-android
03-19
本文根据owasp出具的2016移动应用top10的checklist翻译而来,适用于所有android应用
安全开发】IOS安全编码规范
11-30 1265
申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-7-IOS%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%...
Android安全编码规范
D.K专栏
04-30 869
1.目的 为使系统开发人员能够编写符合安全要求的代码,以降低代码安全漏洞,减少代码被利用的可能性,从而提升各系统安全水平,符合国家安全合规性要求,保障产品安全稳定运营以及信息安全,特制定本规范。 2.引用规范 《信息安全技术移动智能终端个人信息保护技术要求》 《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》 《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》 《中国金融移动支付客户端技术规范》 《中国金融移动支付应用安全规范》 《移动互联网应
APP接口安全设计要点
黑马程序员广州中心的专栏
12-06 160
请求合法性校验: 请求合法性校验主要就是指如何避免API被非法的调用,比如系统里面有一个短信接口,就要考虑如何避免这个短信接口不被短信轰炸机滥用,可以采用的方式有以下几种: 1. 验证码,验证码主要用于防范恶意注册、恶意破解密码、恶意灌水等非法操作,验证码可以使用Google的CAPTCHA解决方案。 2. Token令牌,Token主要用于自动登录,也就是在不需要用户频繁登录的情况下保证访...
Android实战内容:TestApp
07-07
Android开发领域,TestApp是一个典型的实战项目名称,它涵盖了Android应用从设计到实现的各个环节。这个项目可能是为了教授开发者如何构建一个完整的Android应用程序,强调实践操作和测试的重要性。在这个项目中,...
android日程管理安卓APP开发
09-29
通过研究这个开源项目,开发者不仅可以掌握日程管理应用的开发技术,还能学习到如何优化代码结构,提升应用性能,以及如何遵循Android开发规范。此外,源码中可能还包括了关于版本控制(如Git)、持续集成/持续...
APP界面设计规范Android版样本.doc
最新发布
11-19
Android 开发中,文字大小的单位是 sp,非文字的尺寸单位用 dp。但是,我们在设计稿用的是 px 单位。这些单位如何换算,是设计师、开发者需要了解的关键。 * dp 和 px 的换算公式:dp*ppi/160 = px。 * sp 和 px...
阿里巴巴之安卓开发规范 Android
01-04
《阿里巴巴 Android 开发手册》是阿里各大 Android 开发团队的集体智慧结晶和经验总结,将多个 App 长期开发迭代和优化经验系统地整理成册,以指导 Android 开发者更加高效、高质量地进行 App 开发。共同遵循同一...
Android安全规范
01-17
Android安全规范开发App项目必须遵守。否则很容易出现代码泄漏等问题
移动互联网应用软件安全通用技术规范(试行).pdf
05-13
移动应用安全规范,互联网应用安全规范APP应用安全规范,应用安全规范
移动app设计规范
04-17
《移动app设计规范》为开发者提供各种软件工程设计中的开发规范,让开发者更专注于开发
Android设计规范文档
10-10
贵,就是要贵,只因为值! 不是官方的文档,是国内一个大型互联网公司按照谷歌写出来的设计规范
超强干货|APP规范实例-详细的UI设计规范
02-26
本篇这一套UI设计规范,包含了界面布局、颜色、文字规范、按钮规范、图标规范、图片规范、列表规范、控件规范、弹出浮层,超级详细。
移动应用安全开发规范-安卓基础篇
简言
05-06 3887
周末参加了线下安卓巴士论坛组织的“安卓开发者的修炼之道”,几位嘉宾分享的内容都很赞。没时间整理文字版,直接分享嘉宾的PPT了。第一位嘉宾林魏,深圳爱加密科技公司攻防实验室负责人,分享的主题是《移动应用安全开发规范-安卓基础篇》。...
Android安全[测试标准]
0x00的博客
08-02 1453
安卓攻击面 物理层攻击分析:USB, 手机 无线层攻击分析:NFC, RF, BLE , Cellular, GPS, WIFI 应用层攻击分析:APP   手机启动模式:下载模式, fastboot模式 物理层测试 测试名称:usb--[mtp测试] 测试工具: mtp的fuzzing工具:https://github.com/ollseg/usb-device-fuzzing ...
Android安全开发编码规范(上)
武天旭的博客
12-08 844
一、平台使用不当 1.1、定义 平台使用不当包涵Android控件的配置不当或编码不当。包括Activity、Service、ContentProvider、Broadcast Receiver、Intent组件、WebView组件使用过程中配置是否规范与编码是否规范。 1.2、风险 平台使用不当会造成的风险包括组件被恶意调用、恶意发送广播、恶意启动应用服务、恶意调用组件、拦截组件返回的数据、远程代码执行等。 1.3、防范方法 1.3.1、预防组件最小化组件暴露 【规范要求】 针对不需要进行跨应用调用的组件
移动互联网应用程序(App安全认证实施规则
Yj9493的博客
11-02 1612
移动互联网应用程序(App安全认证实施规则、APP认证、APP安全认证、移动互联网应用程序(App安全认证申请、APP安全认证条件、APP安全认证怎么做
阿里Android开发手册:打造高效优质App
此外,还提供了《阿里巴巴Android开发规范》认证考试,通过考核可以进一步验证和提升开发者的技术能力。 通过阅读和遵循《阿里巴巴Android开发手册》,开发者能够更好地融入阿里巴巴的开发文化,提升工作效率,打造...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值