SDK的一些安全测试

SDK安全要求

在android应用开过过程中，SDK是android应用中不可缺少的一部分，通过集成各种第三方的SDK可以减少APP应用开发的工作量。但是在APP应用中集成各种第三方SDK可能存在各种安全的风险，除了一些基础的安全问题还有一些致命的异常崩溃的安全问题，通过验证测试分析sdk的安全风险尽可能规避安全风险。

下面来源：<<移动互联网应用程序SDK安全技术要求及测试方法>> 文档中，它罗列出来sdk中的安全基本要求：

SDK安全测评

SDK可能存在的安全风险包括：

1. 这些安全风险不仅包括会出现sdk中可能存在代码漏洞，这会促使APP应用容易受到攻击；

2. 第三方SDK没有在维护更新或无法使用；

3. 使用第三方免费SDK可能存在知识产权的问题。

所以在sdk集成之前很有必要对sdk进行测试验证分析，验证测试方式：

1. 可以检测第三方依赖性中的漏洞的插件(例如：dependency-check-gradle)在应用接入SDK前进行验证测试sdk是否存在安全漏洞；

2. 也可以通过jeb或者jadx将sdk的代码反编译分析是否存在可能的漏洞；

3. 对sdk的隐私数据保护、访问权限的控制进行测试；

4. 对sdk的行为LOG和调用栈LOG进行测试。

SDK的基本安全测评：

SDK数据存储风险测评

SDK数据交互风险测评

SDK重要组件测评

SDK代码及资源文件安全测评

SDK的异常处理

当SDK代码进入异常或者错误状态时，就会发生异常。java和C++代码都可能引发异常。通过验证测试异常是为了确保应用将处理异常并转换为安全状态，而不是通过UI界面或日志记录机制公开敏感信息。

1、确保SDK使用精心设计和统一的方案进行管控代码；

2、通过创建适当的空检查、绑定检查等来规划标准 RuntimeException（例如 NullPointerException、IndexOutOfBoundsException、ActivityNotFoundException、CancelException、SQLException）。应有意抛出 RuntimeException 的子项，并且应由调用方法处理意向。

3、确保对于每个非运行时 Throwable，都有一个适当的 catch 处理程序，最终正确处理实际异常。

4、引发异常时，确保SDK程序具有用于导致类似行为的异常的集中处理程序。这可以是静态类。对于特定于方法的异常，请提供特定的 catch 块。

5、确保sdk在其 UI 或日志语句中处理异常时不会公开敏感信息。确保异常仍然足够详细，可以向用户解释问题。

6、确保在执行 finally 块期间，始终擦除高风险应用程序处理的所有机密信息。

下面几种方式可以对SDK中异常进行动态分析：

1、使用Xposed或者frida工具进行hook方式，并使用意外值调用它们，或使用意外值（例如空值）覆盖现有变量；

2、在Android应用程序的UI界面字段中键入意外值。

3、使用应用程序的意图、公共提供程序和意外值与应用程序交互。

4、篡改网络通信或应用程序存储的文件。

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和网安大厂360共同研发的网安视频教程，之前都是内部资源，专业方面绝对可以秒杀国内99%的机构和个人教学！全网独一份，你不可能在网上找到这么专业的教程。

内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识，而且包含了中级的各种渗透技术，并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频，200多G的资源，不用担心学不全。

因篇幅有限，仅展示部分资料，需要见下图即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要见下图即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话见下图即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要见下图即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源
————————————————

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。