记录应用过等保遇到的各种问题和解决方式

最新推荐文章于 2024-08-23 11:30:03 发布
最新推荐文章于 2024-08-23 11:30:03 发布
阅读量275 收藏
点赞数
分类专栏: Android java 漏洞 文章标签: android java python xss github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Amir_wu/article/details/113537026
版权
Android 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
java
2 篇文章 0 订阅
订阅专栏
漏洞
1 篇文章 0 订阅
订阅专栏

记录应用过等保遇到的各种问题和解决方式

应用加固

目前网上的第三方应用加固很多,我试了大多数第三方加固平台,腾讯加固、爱加密、360加固是比较好用的,使用他们平台的基础版能解决50%-80%的问题,剩下的可以自己尝试解决,可以接触一些新的知识,实在不行再购买他们的升级版本。

未成功的加固研究

在第一次尝试了第三方应用加固之后,风险测评还剩下50%,还是有一堆看不懂的高风险和专业的名词,于是只能上网找各种资料,然后就想用github上的源码实现下应用加固,看看自己能否弄得出来,github的加固源码有兴趣的你们也可以试试,下面是我试出来的坑。

  1. 由于时间有点久,他的部分代码需要严格按照他的版本号
  2. 安装环境里面少了python 2.7.13、apktool 2.5.0,后面的数字是我用的版本号
  3. 过程中肯定还会遇到其他问题,每个人的处理方式不一样,就不说了。
  4. 最终虽然成功将apk重新生成了一个apk,但是无法安装,手机连接之后查看日志打印,说是so文件损坏,瞬间就不好了,没有那么多时间让我研究,就放弃了,对自己有信心的朋友,可以自己试试。

应用签名

  1. 使用jdk生成自己的签名文件生成教程
  2. 准备一个apk
jarsigner -verbose -keystore 签名文件路径 -signedjar 未签名apk路径 签名后apk路径 签名别名

这个方式只能解决签名的问题,但是如果风险里面还有Janus签名机制漏洞的话,就需要加上v2的签名方式,推荐使用360加固助手,里面有v2的签名方式
同时使用Signature scheme V1和Signature scheme V2签名机制

apktool的使用

首先我用的apktool版本是2.5.0,安装教程
由于要对打包好的apk文件进行修改,所以需要apktool的编译和反编译,能够在不损坏apk安装包的前提下,修改某个参数或者文件。
因为和上面教程版本不一致,我直接使用的话会导致打包文件变小,加上-f -s的参数即可,直接上干货:

反编译

apktool d -f -s text.apk

编译

apktool b text -o text_1.apk

记得重新签名

Amir_wu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android App程序应用未校验签名证书——————《风险等级高》
拉莫帅的博客
12-20 1497
Android App程序如果未校验签名证书的风险你都知道吗?重新打包签名应用,可能导致App被仿冒盗版,影响其合法收入,甚至可能被添加钓鱼代码、病毒代码、恶意代码,导致用户敏感信息泄露或者恶意攻击等等,本篇将教大家如何规避此类问题、以及最好的解决办法!
Android等保认证需要注意的点
qq_25673871的专栏
05-06 308
1、访问需要https格式,请求需要带token验证 2、本地存储sp需要是私有的,只能本应用可以访问 3、注册密码格式需要限制,可以服务端做限制 4、敏感信息加密 5、代码检查,排除恶意代码等等 总结:等保认证Android客户端不需要做什么改动,主要是配合服务端做限制 ...
国家信息安全等级保护三级认证(三级等保设置以及注意点)
masterphp的博客
08-10 7214
国家信息安全等级保护三级认证(三级等保设置以及注意点)
等保2.0工作中常见问题解析
jojo705的博客
02-05 3225
等保测评2.0标准于2019年12月1日正式实施,不少行业相关人员存在疑问,下面就经常碰到的问题做一些整理答复,希望对大家有所帮助 为什么要做等保,一定要做吗?为什么要做等保,一定要做吗? 答:等级保护并不是所有单位全部系统都要做,要先开展定级工作,对应相关的要求和规范,一般二级及以上才会强制要求,一级是不做强制要求的,具体请参考https://blog.csdn.net/jojo705/ar...
360app加固软件
04-02
360app加固软件,方便快捷的加固app,使app通过各大应用商店的安全检测,快速上架
android安全风险分析,Android安全检测报告,等保测评过不了,提示风险
weixin_42561464的博客
05-25 1036
检测依据《GB∕T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求》《GB∕T 34975-2017 信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》《GAT 1390.3-2017 信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》《YD/T 1438-2006 数字移动应用层软件功能要求和测试方法》《YD/T 2307-2011 数...
Unity 之 解决包体过大问题记录和纹理相关知识点整理
陈言必行 -- Unity游戏开发领域优质博主
05-27 1万+
记录一个Unity打包包体过大的问题解决方案和纹理相关知识点梳理介绍。
被问到项目亮点、难点、遇到问题解决思路
热门推荐
gaoyu007的博客
05-23 6万+
面试中被问到你的项目亮点、难点、遇到问题解决思路是不是很蒙,现在我拆分一下问题 什么是项目亮点: 你负责的业务是什么?(学会发现问题) 你真的想过业务是什么吗? 有为业务想过什么吗? 有了你,业务有什么不同吗? 能不能5分钟说明白,你负责的业务是什么? 可有想过有没有说到位,甚至答非所问 这里谈谈我个人对业务的理解,或许没有普遍意义,所以仅供参考。
notes:日常开发项目会遇到各种问题,随手记录一下
04-05
在日常的IT开发工作中,我们经常会遇到各种各样的问题,这些问题可能涉及到编程语言的细节、框架的使用、数据库操作、版本控制、系统架构等多个方面。这里,我们将根据"notes-main"这个文件夹名称来推测其可能包含的...
区块链技术在教育教学中的应用遇到问题.pdf
08-15
区块链技术是一种革命性的信息技术,自从比特币白皮书发表以后,引起了广泛关注...然而,应用推广的过程中需要政府、教育机构、技术开发者以及社会各界共同努力,才能解决目前遇到问题,发挥出区块链技术的最大优势。
最新等保2.0-系统运维管理恶意代码库升级记录.docx
07-12
8. **备注**:备注栏通常用于记录额外的信息,如特殊处理的步骤、与上一版本的区别或者可能遇到问题解决方案,这些都是运维过程中积累的宝贵经验。 总之,等保2.0中的系统运维管理强调了对恶意代码库升级记录的...
Thinkphp中volist标签mod控制一定记录的换行BUG解决方法
10-25
开发者们在遇到类似问题时,可以参考这种方法,通过调整代码执行顺序来解决BUG。 总之,Thinkphp框架的这个BUG是由于模板解析顺序导致的,而调整内部代码的执行顺序是解决这一问题的有效手段。在实际的开发过程中,...
JDBC Oracle执行executeUpdate卡死问题解决方案
09-09
在使用Java JDBC与Oracle数据库...通过这些方法,可以有效地避免和解决这类问题,保证应用程序的正常运行。在实际开发中,使用事务管理框架如Spring JDBC或Hibernate,可以更好地自动化事务处理,减少这类问题的发生。
登录即代表您同意 用户服务协议
沸腾的泪水的专栏
10-09 9487
-(UILabel *)remindLabel{ if (!_remindLabel) { _remindLabel = [[UILabel alloc] init]; NSDictionary *attributes = @{NSFontAttributeName:[UIFont systemFontOfSize:13.0f], NSForegrou...
用fiddler抓包断点修改接口数据测试前端的显示功能
weixin_39618279的博客
01-28 962
在测试过程偶尔会用到fiddler抓包来测试前端的显示功能,之前看过大佬们写的教程,都比较高大上,但是少了详细步骤,楼主自己摸索了一会,终于成功。下面给大家分享一下经验,史上最小白的步骤教程来了!!!!! 首先,需要测试前端的现实功能,如果tab中的选项很多,预期的结果是会出现“展开”和“收起”按钮,但是本账号的测试数据不够,去修改数据库也很麻烦,而且不一定有权限,这时候我们就需要修改后端传过来...
看各大安全厂商对等保2.0的应对措施及解决方案
网络安全
05-16 1572
5月13日,网络安全等级保护技术2.0版本(简称等保2.0)正式公开发布,等保2.0覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据。前面文...
Android笔试面试题AI答之Kotlin(20)
学无止境,止于至善
08-21 739
Elvis操作符(?:)是Kotlin(以及一些其他编程语言)中用于处理可空表达式的一种简洁方式。它允许在表达式的值为null时提供一个默认值,从而简化了空值的处理。在Kotlin中,构造函数(Constructor)是类的一个特殊方法,它用于初始化新创建的对象。与Java不同,Kotlin中的构造函数不是通过名称来定义的,而是与类名相同,并且没有返回类型(即使是void)。Kotlin支持主构造函数和次构造函数(也称为辅助构造函数或二级构造函数)。
Android 应用中广播权限未指定风险与解决方案
最新发布
weixin_37600397的博客
08-23 1009
Android应用中,广播(Broadcast)是一种重要的通信机制,应用可以通过广播与系统或其他应用进行通信。然而,如果在发送广播时未指定接收者的权限,可能会导致应用暴露于安全风险之下。未授权的接收者可能会拦截这些广播,甚至可能执行恶意操作。 在安全检查中,发现了一个问题应用存在“Receiver权限未指定风险”。这个问题主要涉及广播发送时未指定接收者权限,可能导致广播被未授权的应用接收,进而可能造成数据泄露或其他安全问题
好文推荐|Android显示流程分析(1)
程序员Android
08-22 447
和你一起终身学习,这里是程序员Android经典好文推荐,通过阅读本文,您将收获以下知识点:企业微信截图_16324493913554.png1. 前言本文尝试从硬件认识开始介绍Android的显示系统是如何更新画面的,希望能就android系统是如何更新画面的问题,给读者带来一个感性认知。文中将尝试解释从App画出一帧画面到这帧画面是如何到达屏幕并最终被人眼看到的整个过程,这其中会涉及硬件的一些...
关于 logback 使用遇到问题解决问题记录
06-12
好的,关于 logback 使用遇到问题解决问题记录,我会尽力回答你的问题。 首先,你需要了解 logback 是一个开源的 Java 日志框架,它是由 log4j 作者 Ceki Gülcü 所开发的。logback 具有高效、灵活、可扩展等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值