自由人生

Android安全测试一、通过在线工具进行测试1.腾讯金刚审计系统http://service.security.tencent.com优点：包含了修复建议2.阿里聚安全检测网址： http://jaq.alibaba.com/ 阿里聚安全下有自己的安全博客，包含一些：1.安全漏洞、2.病毒分析、3.技术研究、4.安全报告相关文档。3.360捉虫猎手检测结果网址

1. Android HTTPS中间人劫持漏洞描述      在密码学和计算机安全领域中，中间人攻击 （ Man-in-the-middle attack，通常缩写为MITM ）是指攻击者与通讯的两端分别创建独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容[

最近在做一个项目过程中，发现了一个很严重的安全漏洞，这个漏洞是乌云平台（http://www.wooyun.org）报告出来的。1，使用场景我们很多时候要使用WebView来展示一个网页，现在很多应用为了做到服务端可控，很多结果页都是网页的，而不是本地实现，这样做有很多好处，比如界面的改变不需要重新发布新版本，直接在Server端修改就行了。用网页来展示界面，通常情况下都或多或少都与Jav

背景：Webview安全风险之前一直没引起重视，直到addJavascriptInterface挂马漏洞拉开了Webview安全风险的序幕。由于Android版本的碎片化，导致Webview存在大量的Nday漏洞和安全风险。阿里聚安全专家将会对Webview存在的安全风险进行整理及防御方案探讨。一、  UXSS漏洞攻击Webview历史上存在大量的Nday漏洞，包括但不限于UXSS漏洞、远

前文 介绍了在Windows平台利用强大的APK-Multi-Tool进行反编译apk，修改smali源码后再回编译成apk的流程，最近受人之托，破解个apk，所幸的是所用到的这三个软件都是跨平台的，mac上也妥妥的。这里记录下在mac上所用的东西和流程。总共需要三个软件，为了便于找到最新的版本，把官网也放后面：Apktool：http://ibotpeaches.github.i