常规APP在客户端层面潜在应用安全问题探讨

最新推荐文章于 2024-07-25 09:58:57 发布
最新推荐文章于 2024-07-25 09:58:57 发布
阅读量334 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qiled/article/details/134085243
版权

站在安全的角度上对应用安全提出几点小疑问,以防止产品后期调整造成不必要的麻烦.所以总结一些常见的检测方案,过滤一些风险用户

没有绝对的安全, 安全都是相对的.
道高一尺魔高一丈, 逆向永远胜利!

1. 如何避免同行来爬取我们应用的素材?

对服务器压力造成压力,影响用户体验.

解决方案:

  1. 简单的做一下抓包检测
    1. OKHTTP开启证书校验功能
      1. https://ch3nye.top/Android-HTTPS%E8%AE%A4%E8%AF%81%E7%9A%84N%E7%A7%8D%E6%96%B9%E5%BC%8F%E5%92%8C%E5%AF%B9%E6%8A%97%E6%96%B9%E6%B3%95%E6%80%BB%E7%BB%93/(SSLPING)
    2. 检测客户端是否使用VPN功能
      1. https://www.biaodianfu.com/android-ios-proxy-vpn.html
    3. 检测客户端是否设置了系统代理
      1. https://www.biaodianfu.com/android-ios-proxy-vpn.html
  2. 接口验签功能
    1. 对接口的参数进行验签功能(sign参数)
    2. 如果开发团队有NDK开发经验,建议写到native层上,可以过滤新手.
      1. https://developer.aliyun.com/article/1169355 NDK使用MD5算法
      2. https://blog.csdn.net/afei__/article/details/81031965 JNI动态注册

2. 盗版应用,内购功能,去广告

市场上出现大量的VIP破解版,VIP内购版,去广告绿色版. 应该尽可能的避免这类可能的出现

解决方案:

  1. APK签名校验,如果团队有能力,建议放在native层
    1. https://www.jianshu.com/p/50f2a8db2ab0
    2. https://stackoverflow.com/questions/15025304/check-apk-signature-in-c-native-code
  2. 对release版的应用做混淆
    1. https://github.com/CodingGay/BlackObfuscator
  3. 使用第三方的加固厂商保护服务(加壳)
    1. 360
    2. 腾讯
    3. 爱加密
    4. 梆梆
  4. 关键功能,核心功能应该由服务器下发接口,所有关键接口做VIP校验,本地APP只是个数据展示. 从根源上避免内购的可能

3. 如何避免用户恶意调用接口

竞品应用不具备相关能力, 会选择开通VIP或者注册大量帐号来调用我们的客户端接口以服务他们的产品使用

解决方案:

  1. 调用频率限制, 每分钟限制多少次请求.
  2. IP限制 - 当某个IP疯狂的请求接口的时候为风险用户.
  3. 帐号限制 - 一个帐号的IP频繁切换,也可视为风险用户.

4. 机刷(真实用户)问题

如果推广方案使用存在地推,或者有推广奖励的情况下,那避免不了存在机刷的可能, 如何尽可能的避免机刷(恶意用户)的存在

解决方案:
https://github.com/lamster2018/EasyProtector

  1. ROOT检测 一般的真实用户机器都是不具备ROOT权限的,把ROOT用户视为恶意用户即可
    1. https://8ksec.io/advanced-root-detection-bypass-techniques/
  2. Xposed检测, 遍历APP列表,检测是否存在xposed manager, 通过反射loadClass de.robv.android.xposed.XposedHelpers
    1. https://github.com/CrackerCat/RiskEnvDetection
    2. https://github.com/w568w/XposedChecker
  3. frida检测, 检测端口27042
    1. https://mp.weixin.qq.com/s/RzdyDWRZ4un2_mC4Om8XZg
  4. Android模拟器特征检测
    1. https://github.com/reveny/Android-Emulator-Detection

5. 总结

在客户端层面的对抗终究是有限, 你没法100%的避免破解者对客户端的破解侵入. 我们只能尽可能的给破解者提高自身产品破解难度.从而劝退一些逆向工作者,达到保护自身产品的目的.

同时,随着安全圈的资料日渐丰富,逆向工具日渐丰富完善,破解客户端的成本大幅降低,这也对Android/IOS应用开发工程师的能力提出了全新的要求,不再是简单的会开发,CURD工程师亦或者画画UI,写写简单的逻辑,还需要对安全相关的知识有一定的了解,才可以更好的为产品客户端保驾护航!

最后, 逆向工程师永远胜利!

Qiled
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【AI大模型应用实战】AI大模型应用架构(ALLMA)白皮书
禅与计算机程序设计艺术
06-30 9033
随着大模型浪潮的兴起,生产力将发生质的变化,从而引发生产力和生产关系的重塑。随着模型能力的提升和使用成本的降低,基于大模型构建应用将成为主流趋势。然而,应用层能否与大模型高效交互,将成为产品方案探索效率和效果的关键因素。因此,在模型之上的工程架构中,必须构建一套完整的大模型交互管道(Interface),将应用层(Application) 和模型层(Model)进行串联,为诸如Prompt Engineering、Fine-Tuning和模型评估等关键环节提供全面支持,以实现产品方案探索的降本增效 ....
《移动金融客户端应用软件安全管理规范》(JRT 0092-2019).pdf
02-18
《移动金融客户端应用软件安全管理规范》(JRT 0092-2019)
盘点人工智能十大经典应用领域、图解技术原理
喜欢打酱油的老鸟
06-07 3390
来源:大数据DT 本文约7695字,建议阅读15分钟。 本文通过案例分门别类地深入探讨人工智能的实际应用。案例甚多,此处所列举的仅是九牛一毛。本该按行业或业务对这些案例进行分类,但相反我选择按在行业或业务中最可能应用的顺序来分类。 本文将使用“算法”一词,以高度简化的方式来描述单个算法、模型或者使用多种算法的软件。在每个类别中,逐一讨论数据输入的类型、作为黑箱的算法以及输出(为了简便易行,即使真实算法不是黑箱也暂且把它当成黑箱)。 因为这是高层次的概述,所以我鼓励你深入研究感兴趣的具体应用.
Docker 安全问题与防护 (学习笔记)
pwl999的博客
11-12 1426
文章目录1. Docker面临的安全问题1.1 Docker简介1.2 Docker安全问题2. Docker安全方案2.1 Docker安全基线2.2 Docker安全规则2.3 Docker镜像安全扫描与审计2.4 Docker入侵检测2.5 Docker容器安全隔离与资源控制2.5.1 namespace2.5.2 cgroup2.6 Docker容器系统调用和文件访问的权限控制2.7 安全管理docker容器敏感信息3. 竞品厂商3.1 [neuvector](https://neuvector.c
Android 应用和系统优化V1.2
懒人日志
09-15 8221
一年多年写了一篇简单的软件优化教程,给公司的同事使用。现在应该还不算过时,在过去一年里,在国家脱虚向实运动倡导下,一个个高科技企业如雨后春笋般诞生,对软件的优化和重构的需求也越来越多。早期的 android 开发者曾经十分羡慕C文开发者,C的调试工具是如此之多和丰富,内存,堆栈,CPU,GPU,断点,现在android的系统分析和优化工具也相当多,借助系统自带的开发者工具,android系统也变得
移动客户端App在泌尿外科住院医师规范化培训的应用探讨.pdf
08-26
【移动客户端App在泌尿外科住院医师规范化培训的应用】随着科技的发展,移动客户端App已经成为现代医学教育的重要工具,尤其在住院医师规范化培训中扮演着日益关键的角色。在泌尿外科领域,这种应用不仅有助于解决...
隧道监控量测手机APP客户端开发与应用.pdf
08-26
"隧道监控量测手机APP客户端开发与应用" 隧道监控量测手机APP客户端开发与应用是隧道施工过程中的一个重要程序,主要包括巡视巡查、数据采集、数据分析和信息化管理几个方面。信息化管理水平直接影响到监控量测作用...
安卓app逆向神器,安全评估,客户端安全
08-03
安卓app逆向神器,安卓app逆向神器,安全评估,客户端安全等,安卓app逆向神器,安全评估,客户端安全等,安卓app逆向神器,安全评估,客户端安全等,安卓app逆向神器,安全评估,客户端安全等,安卓app逆向神器,...
移动校园App潜在安全风险分析及对策研究.pdf
08-26
第二部分,分析移动校园App的架构和各应用的接入情况,识别客户端、通信过程和服务端潜在安全风险;第三部分,提出研究分析方法和安全修复对策,提高移动校园App的整体安全性;第四部分,讨论研究结果和结论,总结...
深入探讨:如何在Shopee平台上安全运营多个店铺?
Ssm2022的博客
07-24 727
因为每个IP相关信息会被收录形成独特的浏览器指纹,浏览器指纹是一种通过收集和识别用户浏览器特征来跟踪和识别用户的技术。在跨境电商中,特别是运营多个店铺的商家,浏览器指纹可能被电商平台用于判断账号之间的关联。所以,当Shopee检测到一IP多店铺时,会认为商家存在恶意倾销等行为,从而封禁你的账号。这是一个关乎账号安全和业务持续性的重要问题。浏览器保存的账号、密码、支付信息等数据,以及注册资料、法人信息的重复使用,也可能导致账号被关联。通过这些措施,卖家可以有效降低店铺被关联的风险,保障业务的持续和稳定发展。
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1047
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
qt练习控件label控件-lineEdit控件样例代码
07-30
qt练习控件label控件-lineEdit控件样例代码
【JCR一区级】麻雀搜索算法SSA-CNN-LSTM-Attention故障诊断分类预测【含源码 5689期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Attention分类系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Attention分类 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Attention分类 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Attention分类 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Attention分类 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Attention分类
详解MATLAB Simulink通信系统建模与仿真
07-30
第1 章 MATLAB 基础与通信系统仿真 1.1 MATLAB 简介 1.2 MATLAB 程序设计 1.3 通信系统仿真 第2 章 Simulink 仿真基础 2.1 Simulink 简介 2.2 Simulink 工作环境 2.3 Simulink 仿真的基本方法 2.4 创建自己的模块库 2.5 S-函数的编写 第3 章 通信信号与系统分析 3.1 离散信号和系统 3.2 Fourier 分析 3.3 带通信号的低通等效 3.4 随机信号分析 第4 章 信道 4.1 加性高斯白噪声信道 4.2 多径衰落信道 第5 章 模拟调制 5.1 幅度调制 5.2 角度调制 第6 章 数字基带传输 6.1 概述 6.2 二进制基带信号传输 6.3 基带PAM 信号传输 6.4 带限信道的信号传输 第7 章 数字信号载波传输 7.1 概述 7.2 载波幅度调制(PAM) 7.3 载波相位调制(PSK) 7.4 正交幅度调制(QAM) 7.5 载波频率调制(FSK) 第8 章 信道编码和交织 8.1 概述 8.2 线性分组码
SCI一区】淘金算法GRO-CNN-BiLSTM-Mutilhead-Attention多变量时序预测含源码 5642.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-BiLSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-BiLSTM-Mutilhead-Attention回归预测
2020年首届“洪泽湖杯”中国人工智能掼蛋算法大赛第8名我就是掼蛋.zip
07-30
毕业设计是高等教育阶段学生完成学业的一个重要环节,通常在学士或硕士学业即将结束时进行。这是学生将在整个学业中所学知识和技能应用到实际问题上的机会,旨在检验学生是否能够独立思考、解决问题,并展示其专业能力的一项综合性任务。 毕业设计的主要特点包括: 独立性: 毕业设计要求学生具备独立思考和解决问题的能力。学生需要选择一个合适的课题,研究相关文献,进行实地调查或实验,并提出独立见解。 实践性: 毕业设计是将理论知识应用到实际问题中的一次实践。通过完成毕业设计,学生能够将所学的专业知识转化为实际的解决方案,加深对专业领域的理解。 综合性: 毕业设计往往要求学生运用多个学科的知识,综合各种技能。这有助于培养学生的综合素养,提高他们的综合能力。 导师指导: 学生在毕业设计过程中通常由一名指导老师或导师团队提供指导和支持。导师负责引导学生确定研究方向、制定计划、提供建议,并在整个过程中监督进展。 学术规范: 毕业设计要求学生按照学术规范完成研究,包括文献综述、研究设计、数据采集与分析、结论和讨论等环节。学生需要撰写一篇完整的毕业论文,并进行答辩。
网络音乐搜索引擎,音乐搜索器 - 多站合一音乐搜索,音乐在线试听
最新发布
07-30
网络音乐搜索引擎,音乐搜索器 - 多站合一音乐搜索,音乐在线试听 效果截图https://www.diyiyuanma.cn/3444.html 多站合一音乐搜索解决方案,数据调用的是各网站的API接口, 有的接口并不是开放的,随时可能失效,本项目相关代码仅供参考。 网络音乐搜索引擎,音乐搜索器 - 多站合一音乐搜索,音乐在线试听
这是一个旨在简化合约部署、验证、交互等操作用于生成区块链智能合约Foundry框架指令的 Web3.0开发者工具
07-30
这是一个旨在简化合约部署、验证、交互等操作用于生成区块链智能合约Foundry框架指令的 Web3.0开发者工具。
梆梆安全:移动应用客户端渗透测试关键点详析
本文档是关于“梆梆安全-移动应用客户端渗透测试检测点”的技术指南,主要针对Android和iOS客户端安全评估。该文档详细介绍了在对移动应用进行渗透测试时,针对两个平台的特定检测点,旨在确保应用安全性。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值