Android安全——客户端安全要点

于 2024-09-11 05:36:31 发布
阅读量954 收藏 29
点赞数 24
文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86951173/article/details/142113581
版权
  • allowBackup属性 android:allowBackup=[“true” | “false”]

设置是否支持备份,默认值为true,应当慎重支持该属性,避免应用内数据通过备份造成的泄漏问题。

三、WebView安全

  • 谨慎支持JS功能,避免不必要的麻烦。

提到对于Android4.2以下的JS任意代码执行漏洞,Android4.2以下?不必支持了吧!

  • 请使用https的链接,第一是安全;第二是避免被恶心的运营商劫持,插入广告,影响用户体验。

  • 处理file协议安全漏洞

//若不需支持,则直接禁止 file 协议

setAllowFileAccess(false);

setAllowFileAccessFromFileURLs(false);

setAllowUniversalAccessFromFileURLs(false);

  • 密码明文保存漏洞

由于webView默认开启密码保存功能,所以在用户输入密码时,会弹出提示框,询问用户是否保存。若选择保存,则密码会以明文形式保存到 /data/data/com.package.name/databases/webview.db中,这样就有被盗取密码的危险。所以我们应该禁止网页保存密码,设置WebSettings.setSavePassword(false)

  • 开启安全浏览模式

<meta-data android:name=“android.webkit.WebView.EnableSafeBrowsing”

android:value=“true” />

启用安全浏览模式后,WebView 将参考安全浏览的恶意软件和钓鱼网站数据库检查访问的 URL ,在用户打开之前给予危险提示,体验类似于Chrome浏览器。

四、数据存储安全;

  • 秘钥及敏感信息

此类配置应当妥善存放,不要在类中硬编码敏感信息,可以使用JNI将敏感信息写到Native层。

  • SharePreferences

首先不应当使用SharePreferences来存放敏感信息。存储一些配置信息时也要配置好访问权限,如私有的访问权限 MODE_PRIVATE,避免配置信息被篡改。

  • 签名配置signingConfigs

避免明文保存签名密码,可以将密码保存到本地,无需上传版本控制系统

在app目录下建立一个不加入版本控制系统的gradle.properties文件:

STORE_PASSWORD = qwer1234

KEY_PASSWORD = demo1234

KEY_ALIAS = demokey

gradle将自动引入gradle.properties文件,可以直接在buld.gradle文件中使用:

signingConfigs {

release {

try {

storeFile file(“E:\FDM\Key\demo.jks”)

storePassword STORE_PASSWORD

keyAlias KEY_ALIAS

keyPassword KEY_PASSWORD

}catch (ex) {

throw new InvalidUserDataException(“You should define KEYSTORE_PASSWORD and KEY_PASSWORD in gradle.properties.”)

}

}

}

五、数据传输安全

  • 使用HTTPS协议

HTTPS的主要思想是在不安全的网络上创建一安全信道,并可在使用适当的加密包和服务器证书可被验证且可被信任时,对窃听和中间人攻击提供合理的防护。可以说是非常基础的安全防护级别了。

  • Android网络安全性配置

该特性让应用可以在一个安全的声明性配置文件中灵活的自定义其网络安全设置,而无需修改应用代码,满足更高的安全性要求。

在AndroidManifest.xml中配置networkSecurityConfig:

<?xml version="1.0" encoding="utf-8"?>

<manifest … >

<application android:networkSecurityConfig=“@xml/network_security_config”

… >

network_security_config文件如下:

<?xml version="1.0" encoding="utf-8"?>

example.com

以 PEM 或 DER 格式将自签署或非公共 CA 证书添加到 res/raw/my_ca。这让我回想起年前听到渗透测试结果时的恐惧,好家伙,自己装了个证书…

这部分更多细节、功能请参考官方文档网络安全配置

六、其他安全问题

  • 日志输出

日志是我们开发调试中不可或缺的一部分,但也是最容易泄露敏感信息的地方。所以,在我们发布应用时,应当关闭、甚至移除Log输出。

  • 混淆、加固

混淆代码,可以增加反编译破解的难度。但是我们在使用混淆功能时也要注意实体类、与JS交互的方法、第三方混淆配置等问题。

应用加固也是近年来比较热门的应用安全解决方案,各大厂商都有自己的加固方案,常见的如腾讯乐固、360加固等等。

  • 漏洞检测工具

当项目代码量庞大以后,积累了较多的历史代码,人工检测代码工作量大。这时,漏洞检查工具就派上用场了。中文的漏洞检测工具中比较有名的就是360的FireLine。

参考资料:

Security for Android Developers

Android Intent Scheme URLs攻击

您的 Java 代码安全吗 — 还是暴露在外?
android WebView详解,常见漏洞详解和安全源码
原文地址:https://www.jianshu.com/p/7f2202c18012

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

2401_86951173
关注
客户端安全(加固)
十维之眼的博客
09-11 915
上一篇签名说到,签名只是确保应用在传递过程不被篡改,这是一致性原则。但是,可以被剽窃啊,所以还需要一层防护:加密!这就是加固的初衷。 安卓的混淆,某种意义上讲也是一种“加密”,所以在生产包上尽量要启用混淆。但是混淆毕竟不是真正意义的加密(即别人完全无法破解),混淆只是一种乱编码而已,花点时间仍然可以把逻辑破解出来。 那么加密对象是谁?跟签名那样是整个应用包加密吗?当然不能,因为加密后要解密啊,整个应用包都加密了,谁来解密?操作系统吗?操作系统没有你的解密逻辑和密钥,如何解密?这点跟签名不同,签名可以由操
客户端安全(TLS/SSL)
十维之眼的博客
04-26 3280
Android安全在早期是使用openSSL库,后来(大概6.0之后)则使用boringSSL(从openSSL拉一个分支出来)。openSSL库低版本存在一些安全漏洞,所以安卓低版本也同样会有安全漏洞。APP要修复这些安全漏洞,一方面可以通过升级安卓自带的openSSL库解决,一方面可以通过第三方库解决(即自己的app引入高版本openSSL),调用第三方库的安全接口而非安卓自带的安全接口。 附: https://source.android.com/security/enhancements/
客户端数据安全
weixin_44097449的博客
05-06 1731
客户端数据安全 本地文件权限配置 本地文件内容安全 本地日志内容安全
客户端安全相关知识点
xxx
10-22 470
攻击的目的 取得在线敏感数据和敏感操作 利用客户的浏览器 执行js做提交或者取得cookie认证 本质 取得认证:Cookie 影响Cookie认证信息的几个重要属性 Domain:向哪些域发送本cookie Path:向哪些路径发送本cookie Secure:向非ssl服务发送本cookie Httponly:利用javascript获取本cookie P3p:当页面作为iframe等html标签嵌入时,ie是否接受并且发送本cookie 影响客户端发送或者获取数据的Domain同源策略 客户.
Android安全——客户端安全要点,h5开发移动端
m0_66145060的博客
01-11 691
作为一个开发人员,必须具备安全意识,掌握基础的安全知识,为打造更加安全的应用做出努力。本文浅谈Android客户端安全问题,涉及组件、WebView、存储、传输、日志、混淆、应用加固等安全漏洞及防护策略,运用更加合理的配置与防护措施来提高应用的安全级别。 二、组件安全: 规范安卓标准组件(Activity、Service、Receiver、Provider)的访问权限。 这里提到的组件访问权限主要是指跨应用的进程间通信(IPC,Inter-Process Communication),开发者可以限定应用
安卓Android源码——利用JSON,通过客户端访问web服务器,实现一个登录功能.zip
10-11
在安卓(Android)开发中,实现一个通过客户端访问Web服务器并利用JSON进行数据交互的登录功能,涉及到多个关键知识点。以下将详细阐述这些技术要点: 1. JSON (JavaScript Object Notation):JSON是一种轻量级的...
安卓Android源码——安卓Android-Sip2Peer-1.0 实现p2p.zip
10-10
在本项目中,我们主要探讨的是“安卓Android源码——安卓Android-Sip2Peer-1.0 实现p2p.zip”这一主题。这个压缩包包含的源代码是针对Android平台实现P2P(peer-to-peer)通信的一种解决方案,特别地,它涉及到SIP...
安卓Android源码——Imsdroid语音视频通话源码.zip
10-14
Android 源码分析——Imsdroid 语音视频通话实现】 在移动通信领域,尤其是在安卓(Android)操作系统上,实现高效的语音和视频通话功能是至关重要的。Imsdroid 是一个开源项目,它提供了在 Android 设备上实现...
支付域——支付安全
最新发布
庄小焱
08-15 177
支付安全是保护在线交易和支付过程中的信息安全性和完整性的关键。它涉及多层次的安全措施,包括数据加密、身份验证和访问控制。数据加密确保交易数据在传输过程中不被窃取或篡改,通常使用SSL/TLS协议。身份验证机制,如多因素认证(MFA),增加了额外的安全层次,防止未经授权的访问。访问控制确保只有经过授权的人员或系统能够访问敏感信息。此外,监控和实时警报系统可以及时检测并响应潜在的安全威胁。保护用户数据和防范欺诈行为是支付安全的核心目标,为用户提供安全可靠的支付体验至关重要。
移动客户端程序安全
qq_63980959的博客
02-27 1820
反编译的结果是应用程序的代码,这样就暴露了客户端的所有逻辑,比如与服务端的通讯方式,加解密算法、密钥,转账业务流程、软键盘技术实现等等。​ 客户端软件AndroidManifest.xml中的android:debuggable="true"标记如果开启,可被Java调试工具例如jdb进行调试,获取和篡改用户敏感信息,甚至分析并且修改代码实现的业务逻辑,我们经常使用android.util.Log来打印日志。检测app移动客户端安装包是否正确签名,通过签名,可以检测出安装包在签名后是否被修改过。
【网络安全】——客户端安全(浏览器安全、XSS、CSRF、Clickjacking)
Veeupup博客
04-12 617
学习总结客户端安全的相关要素,包括浏览器安全,跨站脚本攻击(XSS),跨站点请求伪造(CSRF),点击劫持(Clickjacking),HTML5安全等。
客户端脚本安全
否命题的博客
07-21 913
一下案例均来自白帽子讲Web安全-吴翰清 一书中这篇主要是记录下一些内容中的简单概念,其中书中涉及很多实例代码,这边不具体叙述。客户端脚本安全XSS攻击XSS:跨站脚本攻击,英文全称为Cross Sie Script 本来缩写是CSS,但是为了和层叠样式CSS做区分,所以在安全领域叫做XSS XSS攻击,通常指用户通过HTML注入篡改了网页,插入恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器
游戏客户端安全方案。
深耕安全技术研究
01-04 5747
客户端版本号也能让游戏客户端变得不安全。 移动端的游戏通常都会根据客户端版本号决定是否要提示客户端升级或下载新的资源。 开发通常都会使用 1.1, 1.3, 1.6 这样的版本号。连入网络后和最新客户端版本号进行比较,决定是否升级。 进行版本比较的代码,使用了字符串比较。 我们都应该知道对于字符串来说: "1.2" 是大于 "1.1", "2.0" 是大于 "1.9" 。而且支持含有多个小数点的版本号,例如 "1.1.0" 是大于 "1.0.9" 的。 一行代码,看上去很简单不会有什么问题。 在实际
白帽子讲Web安全——客户端安全
u011423880的博客
07-27 660
一.跨站脚本攻击(XSS) 1.简介 XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 2.类型 XSS根据效果的不同可以分成如下几类。 (1) 反射型XSS 反射型XSS只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功。反射型XSS也叫做“非持久型XSS”(Non-persistent XSS)。 (2) 存储型XSS 存储型XSS会把用户输入的数据“存储”在服务器端。这种X
Web客户端安全性最佳实践
张无忌_蜘蛛侠的博客
03-28 1074
Web客户端安全性最佳实践
客户端安全的一些想法
weixin_30700977的博客
07-13 105
1 谁为安全买单 安全,总是伴随着具体业务而出现的需求,比如做支付宝,就有支付安全的需求,做游戏,就需要防止帐号被盗服务器被攻击,这种情况下只要相关的安全团队保证业务安全,那安全的价值就能得到认可。而杀毒软件比较奇怪,他解决的是操作系统的问题,好不好需要电脑用户来认可,而用户用电脑的焦点又不在安全上面,这就造成杀软给用户的感知非常低,如果电脑没啥问题的情况下,基本是没啥感知的 2 杀软的...
OT网络安全-OT客户端安全防护要采取那些措施
par@ish的博客
02-05 5222
大多数的OT网络都与互联网物理隔离,以降低OT网络被攻击的风险。 但是基于零信任原则,网络威胁无处不在,OT网络仍然面临很大的威胁。接下来我们会给您一些保护OT网络客户端安全的建议。 一、采用不需要连接互联网更新特征库的安全防护系统 很多客户端安全防护软体,通常都需要连接互联网订阅服务来更新最新版本和特征库。虽然可以采取加密和安全技术来连接,但是仍然存在风险。采用不需要与互联网连接即可更新的方案是最佳的。 二、为客户端安装防毒和防恶意软件的防护软体 OT网络中很多客户端执行的程式,极易被误判为病毒或者恶意软
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值