客户端安全
文章平均质量分 77
十维之眼
这个作者很懒,什么都没留下…
展开
-
客户端安全(TLS/SSL)
Android的安全在早期是使用openSSL库,后来(大概6.0之后)则使用boringSSL(从openSSL拉一个分支出来)。openSSL库低版本存在一些安全漏洞,所以安卓低版本也同样会有安全漏洞。APP要修复这些安全漏洞,一方面可以通过升级安卓自带的openSSL库解决,一方面可以通过第三方库解决(即自己的app引入高版本openSSL),调用第三方库的安全接口而非安卓自带的安全接口。 附: https://source.android.com/security/enhancements/原创 2022-04-26 17:27:57 · 3228 阅读 · 0 评论 -
客户端安全(加固)
上一篇签名说到,签名只是确保应用在传递过程不被篡改,这是一致性原则。但是,可以被剽窃啊,所以还需要一层防护:加密!这就是加固的初衷。 安卓的混淆,某种意义上讲也是一种“加密”,所以在生产包上尽量要启用混淆。但是混淆毕竟不是真正意义的加密(即别人完全无法破解),混淆只是一种乱编码而已,花点时间仍然可以把逻辑破解出来。 那么加密对象是谁?跟签名那样是整个应用包加密吗?当然不能,因为加密后要解密啊,整个应用包都加密了,谁来解密?操作系统吗?操作系统没有你的解密逻辑和密钥,如何解密?这点跟签名不同,签名可以由操原创 2021-09-11 10:14:21 · 876 阅读 · 0 评论 -
客户端安全(签名)
V1-- .Manifest:摘要 .SF: 签名(加签而已,未加密) .RSA:指纹(指纹加密,用私钥加密;文件本身未加密,字节码是因为PKCS7格式化而已) 自签发根证书,直接可用证书里的公钥验签 漏洞: 1、利用非校验范围为非作歹: Jenus类,双dex(加大校验范围,V2) 2、篡改证书二次签名:首次安装无碍,安装后会阻止官方APP安装(方案:连服务器校验证书) 3、渠道包快速生成? V2-- .zip格式 .class/.dex CERT.RSA 签名过程,验证过程?证书指纹 与.原创 2021-09-01 20:24:03 · 6590 阅读 · 0 评论