常规APP在客户端层面潜在应用安全问题探讨

最新推荐文章于 2024-11-09 23:34:47 发布
最新推荐文章于 2024-11-09 23:34:47 发布
阅读量380 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qiled/article/details/134085243
版权
本文探讨了应用安全中的挑战,如防止同行爬取、盗版内购、恶意接口调用和机刷问题,提供了抓包检测、SSL验证、签名检查、接口限制等解决方案,强调了客户端与服务器层面的结合以及开发者对安全知识的需求。
摘要由CSDN通过智能技术生成

站在安全的角度上对应用安全提出几点小疑问,以防止产品后期调整造成不必要的麻烦.所以总结一些常见的检测方案,过滤一些风险用户

没有绝对的安全, 安全都是相对的.
道高一尺魔高一丈, 逆向永远胜利!

1. 如何避免同行来爬取我们应用的素材?

对服务器压力造成压力,影响用户体验.

解决方案:

  1. 简单的做一下抓包检测
    1. OKHTTP开启证书校验功能
      1. https://ch3nye.top/Android-HTTPS%E8%AE%A4%E8%AF%81%E7%9A%84N%E7%A7%8D%E6%96%B9%E5%BC%8F%E5%92%8C%E5%AF%B9%E6%8A%97%E6%96%B9%E6%B3%95%E6%80%BB%E7%BB%93/(SSLPING)
    2. 检测客户端是否使用VPN功能
      1. https://www.biaodianfu.com/android-ios-proxy-vpn.html
    3. 检测客户端是否设置了系统代理
      1. https://www.biaodianfu.com/android-ios-proxy-vpn.html
  2. 接口验签功能
    1. 对接口的参数进行验签功能(sign参数)
    2. 如果开发团队有NDK开发经验,建议写到native层上,可以过滤新手.
      1. https://developer.aliyun.com/article/1169355 NDK使用MD5算法
      2. https://blog.csdn.net/afei__/article/details/81031965 JNI动态注册

2. 盗版应用,内购功能,去广告

市场上出现大量的VIP破解版,VIP内购版,去广告绿色版. 应该尽可能的避免这类可能的出现

解决方案:

  1. APK签名校验,如果团队有能力,建议放在native层
    1. https://www.jianshu.com/p/50f2a8db2ab0
    2. https://stackoverflow.com/questions/15025304/check-apk-signature-in-c-native-code
  2. 对release版的应用做混淆
    1. https://github.com/CodingGay/BlackObfuscator
  3. 使用第三方的加固厂商保护服务(加壳)
    1. 360
    2. 腾讯
    3. 爱加密
    4. 梆梆
  4. 关键功能,核心功能应该由服务器下发接口,所有关键接口做VIP校验,本地APP只是个数据展示. 从根源上避免内购的可能

3. 如何避免用户恶意调用接口

竞品应用不具备相关能力, 会选择开通VIP或者注册大量帐号来调用我们的客户端接口以服务他们的产品使用

解决方案:

  1. 调用频率限制, 每分钟限制多少次请求.
  2. IP限制 - 当某个IP疯狂的请求接口的时候为风险用户.
  3. 帐号限制 - 一个帐号的IP频繁切换,也可视为风险用户.

4. 机刷(真实用户)问题

如果推广方案使用存在地推,或者有推广奖励的情况下,那避免不了存在机刷的可能, 如何尽可能的避免机刷(恶意用户)的存在

解决方案:
https://github.com/lamster2018/EasyProtector

  1. ROOT检测 一般的真实用户机器都是不具备ROOT权限的,把ROOT用户视为恶意用户即可
    1. https://8ksec.io/advanced-root-detection-bypass-techniques/
  2. Xposed检测, 遍历APP列表,检测是否存在xposed manager, 通过反射loadClass de.robv.android.xposed.XposedHelpers
    1. https://github.com/CrackerCat/RiskEnvDetection
    2. https://github.com/w568w/XposedChecker
  3. frida检测, 检测端口27042
    1. https://mp.weixin.qq.com/s/RzdyDWRZ4un2_mC4Om8XZg
  4. Android模拟器特征检测
    1. https://github.com/reveny/Android-Emulator-Detection

5. 总结

在客户端层面的对抗终究是有限, 你没法100%的避免破解者对客户端的破解侵入. 我们只能尽可能的给破解者提高自身产品破解难度.从而劝退一些逆向工作者,达到保护自身产品的目的.

同时,随着安全圈的资料日渐丰富,逆向工具日渐丰富完善,破解客户端的成本大幅降低,这也对Android/IOS应用开发工程师的能力提出了全新的要求,不再是简单的会开发,CURD工程师亦或者画画UI,写写简单的逻辑,还需要对安全相关的知识有一定的了解,才可以更好的为产品客户端保驾护航!

最后, 逆向工程师永远胜利!

Qiled
关注
【AI大模型企业级应用开发实战】企业级应用集成AI大模型的架构,包括大模型概述、集成实践、技术架构设计及应用场景《AI大模型应用架构(ALLMA)白皮书》
AI天才研究院
06-30 9736
随着大模型浪潮的兴起,生产力将发生质的变化,从而引发生产力和生产关系的重塑。随着模型能力的提升和使用成本的降低,基于大模型构建应用将成为主流趋势。然而,应用层能否与大模型高效交互,将成为产品方案探索效率和效果的关键因素。因此,在模型之上的工程架构中,必须构建一套完整的大模型交互管道(Interface),将应用层(Application) 和模型层(Model)进行串联,为诸如Prompt Engineering、Fine-Tuning和模型评估等关键环节提供全面支持,以实现产品方案探索的降本增效 ....
Java后端常见场景业务问题
weixin_43739821的博客
04-09 1365
单点登录如何实现 权限认证如何实现 上传数据的安全性如何保证 项目日志如何采集 已经上线的bug如何排查 如何快速定位系统瓶颈
盘点人工智能十大经典应用领域、图解技术原理
喜欢打酱油的老鸟
06-07 3921
来源:大数据DT 本文约7695字,建议阅读15分钟。 本文通过案例分门别类地深入探讨人工智能的实际应用。案例甚多,此处所列举的仅是九牛一毛。本该按行业或业务对这些案例进行分类,但相反我选择按在行业或业务中最可能应用的顺序来分类。 本文将使用“算法”一词,以高度简化的方式来描述单个算法、模型或者使用多种算法的软件。在每个类别中,逐一讨论数据输入的类型、作为黑箱的算法以及输出(为了简便易行,即使真实算法不是黑箱也暂且把它当成黑箱)。 因为这是高层次的概述,所以我鼓励你深入研究感兴趣的具体应用.
Docker 安全问题与防护 (学习笔记)
pwl999的博客
11-12 1537
文章目录1. Docker面临的安全问题1.1 Docker简介1.2 Docker安全问题2. Docker安全方案2.1 Docker安全基线2.2 Docker安全规则2.3 Docker镜像安全扫描与审计2.4 Docker入侵检测2.5 Docker容器安全隔离与资源控制2.5.1 namespace2.5.2 cgroup2.6 Docker容器系统调用和文件访问的权限控制2.7 安全管理docker容器敏感信息3. 竞品厂商3.1 [neuvector](https://neuvector.c
12万字 | 2021数据安全与个人信息保护技术白皮书(附下载)
Chaincomp的博客
11-18 1万+
前言 当前,以数字经济为代表的新经济成为经济增长新引擎,数据作为核心生产要素成为了基础战略资源,数据安全的基础保障作用也日益凸显。伴随而来的数据安全风险与日俱增,数据泄露、数据滥用等安全事件频发,为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来,国家对数据安全与个人信息保护进行了前瞻性战略部署,开展了系统性的顶层设计。《中华人民共和国数据安全法》于2021年9月1日正式施行,《中华人民共和国个人信息保护法》于2021年11月1日正式施行。 本白皮书(或本报告)正是在《数据安全法》、《个人
Android 应用和系统优化V1.2
懒人日志
09-15 8499
一年多年写了一篇简单的软件优化教程,给公司的同事使用。现在应该还不算过时,在过去一年里,在国家脱虚向实运动倡导下,一个个高科技企业如雨后春笋般诞生,对软件的优化和重构的需求也越来越多。早期的 android 开发者曾经十分羡慕C文开发者,C的调试工具是如此之多和丰富,内存,堆栈,CPU,GPU,断点,现在android的系统分析和优化工具也相当多,借助系统自带的开发者工具,android系统也变得
大数据应用及其解决方案
热门推荐
u014156013的博客
09-17 3万+
1 大数据概述   1.1. 概述   大数据,IT行业的又一次技术变革,大数据的浪潮汹涌而至,对国家治理、企业决策和个人生活都在产生深远的影响,并将成为云计算、物联网之后信息技术产业领域又一重大创新变革。未来的十年将是一个“大数据”引领的智慧科技的时代、随着社交网络的逐渐成熟,移动带宽迅速提升、云计算、物联网应用更加丰富、更多的传感设备、移动终端接入到网络,由此而产生的数据及增长速度将...
收藏 | 大数据应用及其解决方案(完整版)
cqacrh2798的博客
12-10 2800
目录 1. 大数据概述 1.1. 概述 1.2. 大数据定义 1.3. 大数据技术发展 2. 大数据应用 2.1. 大数据应用阐述 2.2. 大数据应用架构 2.3. 大数据行业应用 3. 大数据解决方案  3.1. 大数据技术组成  在这里我还是要推荐下我自己建的大数据学习交流qq裙: 957205962, 裙 里都是学大数据开发的,如果你正在学习大数据 ,小编欢迎你加入,大家都...
Python 代码整洁之道(四)
龙哥盟
07-20 1034
良好软件设计的原则适用于所有层面。就像我们想要编写可读的代码一样,为此我们需要关注代码的意图揭示程度,架构也必须表达它试图解决的问题的意图。所有这些想法都是相互关联的。相同的意图揭示确保我们的架构是根据领域问题来定义的,同时也导致我们尽可能地抽象细节,创建抽象层,倒置依赖关系,以及分离关注点。在重用代码方面,Python 包是一个很好且灵活的选择。在决定创建包时,诸如内聚性和单一责任原则SRP)之类的标准是最重要的考虑因素。
【掌握Paramiko】:构建安全的SSH客户端和服务器
[【掌握Paramiko】:构建安全的SSH客户端和服务器](https://opengraph.githubassets.com/01947df95799c813085bb6f0b08ccf5fe0b68726f2e235649047a7301f7f0120/nnsuite/tizenport-python-paramiko) # 1. Paramiko的...
【Django开发者的安全工具箱】:safestring库的高级应用与实战指南
Web安全是一个涉及多个层面的综合问题,对于任何使用Django框架构建应用的开发者来说,了解Web安全的基本原理和实践是至关重要的。本章将概述Django中的Web安全概念,并介绍一些核心安全实践。 ## 1.1 Django框架下...
【文件上传安全必读】:保护Web应用免遭上传漏洞攻击的黄金法则
[【文件上传安全必读】:保护Web应用免遭上传漏洞攻击的黄金法则](https://codeby.net/attachments/attack9-png.23618/) # 1. Web应用文件上传漏洞概述 ## 1.1 什么是文件上传漏洞? Web应用中的文件上传漏洞是指...
【中间件与安全】:***中中间件在认证授权中的作用
在当今快速发展的信息技术世界中,中间件作为应用程序与操作系统之间的桥梁,扮演着至关重要的角色。它不仅为软件组件提供了通用的交互方式,还为安全机制的实施提供了基础。理解中间件与安全之间的关系,是构建稳固...
【网络】深入理解 HTTPS:确保数据传输安全的核心协议
人生苦短,睡觉要紧,睡醒再说
11-06 1556
HTTPS(HyperText Transfer Protocol Secure)是 HTTP 协议的安全版本。HTTP 是用于客户端与服务器之间传输网页数据的协议,而 HTTPS 在 HTTP 协议的基础上添加了一层SSL/TLS加密协议,使得传输的数据在网络中不易被窃取或篡改。HTTPS 通常用于传输敏感信息,如登录凭证、支付信息、个人数据等。与 HTTP 协议不同,HTTPS 在数据传输过程中会对信息进行加密,确保数据在传输过程中不被第三方监听或修改。
【浪潮商城-注册安全分析报告-无验证方式导致安全隐患】
weixin_46641057的博客
11-09 849
浪潮集团是中国领先的云计算、大数据服务商,拥有浪潮信息、浪潮软件、浪潮数字企业三家上市公司。主要业务涉及计算装备、软件、云计算服务、新一代通信、大数据及若干应用场景。已为全球一百二十多个国家和地区提供IT产品和服务。作为国内做电脑硬件起家发展为综合型大型科技企业,拥有雄厚的技术实力,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定。
PHP常用的安全函数作用
sheji888的专栏
11-06 483
这些函数和方法有助于提升PHP应用安全性,但安全是一个综合性的问题,需要综合使用多种手段,如输入验证、输出编码、会话管理、错误处理等。在PHP开发中,安全是非常重要的一个方面。
【AliCloud】ack + ack-secret-manager + kms 敏感数据安全存储
最新发布
StrayCat的博客
11-09 665
ack-secret-manager支持以Kubernetes Secret实例的形式向集群导入或同步KMS凭据信息,确保您集群内的应用能够安全地访问敏感信息。通过该组件,您可以实现密钥数据的自动更新,使应用负载通过文件系统挂载指定Secret实例来使用凭据信息,同时帮助您解决负载应用和阿里云凭据管家交互的兼容性问题
【销帮帮-注册_登录安全分析报告-试用页面存在安全隐患】
weixin_46641057的博客
11-09 518
杭州逍邦网络科技有限公司成立于2015年,是国内一线CRM品牌和企服领域知名品牌。致力为客户提供专业的客户全生命周期管理和数字化销售管理服务,助力企业提升业绩,让企业更成功。销帮帮拥有强大而灵活的“PaaS+低代码”能力。在吸取了同行滑动验证码的经验后,自己研发了独特风格的那个验证码, 从逆向代码来看, 不仅借鉴了同行的技术原理,还在防抓取上下了功夫,防模拟器鼠标,物理鼠标和逻辑鼠标定位不一致判断措施,解决思路为让JS 这部分代码失效或这采用 物理定位鼠标的部分,目前采用的是物理鼠标的方式。
5. Redis的 安全与性能优化
一名全栈开发工程师
11-06 774
Redis引入了“沙盒机制”,即在脚本执行过程中,脚本被限制只能访问Redis的某些命令和数据集。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值