g270382086的博客

原创 Android和iOS卸载后的文件残留

前言：最近重拾34975关注到这部分内容，在网上查阅了一些相关的资料，这里整理汇总一下一、Android部分转自知乎：https://www.zhihu.com/question/39188332/answer/147224778我们知道很多安卓应用在安装的时候会在存储根目录下生成对应的一个文件夹，以存放应用所需的数据、缓存等等。可是为什么多数应用在被卸载时并不会删除自己生成的目录？是安全原因所限，还是应用开发商故意为之？总有一种只污染不治理的感觉。安卓系统是用一个叫做安装包管理器的程序来安装或卸载

转载 数据脱敏技术的实践指南

本文转载自：https://mp.weixin.qq.com/s/LsL7pIb3jEwCq6i0fsXKPA在数据脱敏专题中，对数据脱敏的概念、技术原理、法律效果评价展开了详尽的、富有建设性的阐述，为了我们在同一术语体系讨论数据脱敏话题奠定了良好基础。本文所要讨论的是企业应用数据脱敏技术满足个人信息保护合规要求时，需要考量的问题。一、概述企业在运营过程中开展数据脱敏工作，往往面对的是大规模的数据集，信息化程度越高的企业越是如此。因此，企业需要借助技术手段来完成数据脱敏工作，不论是自研数据脱敏系统或工

转载 iOS本地数据安全存储

转载自：https://blog.csdn.net/yuanmengong886/article/details/54378761移动APP通常会在设备本地存储一些数据，这可以为程序执行、更良好地性能或离线访问提供支持。由于移动设备使用地越来越广泛，设备失窃的风险也越来越大，因此不安全的本地数据存储已成为移动APP安全的主要威胁之一。攻击者可以通过一些方式获取到存储在iOS设备上的敏感信息，主要有以下方法：恶意程序借助iOS系统的安全弱点，攻击者可以设计出一种远程偷取iPhone上文件的恶意程序。

转载 Android查看手机中的db文件，查看sqlite数据库的表结构

我们的app里面用到sqlite数据库的时候， 会生成一个db文件，保存在我们手机中。有的时候，在调试数据库，很想看一下里面的表结构是否正确，这个时候就十分苦恼，因为这个db文件不能够直接拿出来，我们知道，在DDMS里面有一个FileExplorer，它里面保存着手机中的各个文件夹，但是尝试打开里面的文件夹的时候，却发现怎么点都没有东西，是真的没有吗？其实是我们没有获取到访问这个文件夹的权限。下面我们就开始一步一步的拿到真机调试中的db文件。注意：确保你的手机是root过的。一、打开adb.exe到

转载 Fiddler抓包工具使用详解

本文仅代表作者观点，系作者@温一壶清酒发表。转载请注明出处：http://www.cnblogs.com/hong-fithing/一、Fiddler简介Fiddler是最强大最好用的Web调试工具之一， 它能记录所有客户端和服务器的http和https请求。允许你监视、设置断点、甚至修改输入输出数据。Fiddler包含了一个强大的基于事件脚本的子系统，并且能使用.net语言进行扩展。换言之，你对HTTP 协议越了解，你就能越掌握Fiddler的使用方法。你越使用Fiddler，就越能帮助你了解HTTP

转载 Android 常用权限和使用说明

转载自：https://blog.csdn.net/w517272812/article/details/95614360日历读日历 android.permission.READ_CALENDAR 权限定义:1、android.permission.READ_CALENDAR：允许应用获取用户日历数据2、android.permission.WRITE_CALENDAR：允许应用编辑用户日历数据注：日历的读写操作，在日历应用中可以查看对应的日程。典型场景举例：1、制定学习计划、旅行日程；2

原创 API等级与Android版本对应列表

https://developer.android.google.cn/guide/topics/manifest/uses-sdk-element#ApiLevelsAPI等级Android版本号14Android4.015Android4.0.316Android4.1.217Android4.2.218Android4.3.119Android4.4.220Android4.4W.221Android5.0.122

转载 常见的用户密码在后台数据库中加密存储方式

转载自：https://blog.csdn.net/ctrip_tech/article/details/80125741一、用户密码加密用户密码保存到数据库时，常见的加密方式有哪些，我们该采用什么方式来保护用户的密码呢？以下几种方式是常见的密码保存方式：1、直接明文保存，比如用户设置的密码是“123456”，直接将“123456”保存在数据库中，这种是最简单的保存方式，也是最不安全的方式。但实际上不少互联网公司，都可能采取的是这种方式。2、使用对称加密算法来保存，比如3DES、AES等算法，使用这

转载 Android安全防护的「多任务窗口中的界面高斯模糊处理」问题

直接上结论，就目前而言，iOS实现了系统级的可对后台任务列表中的App预览界面进行高斯模糊处理；Android目前假如我们想让应用安全点就是不要在多任务中泄露信息可以怎么做呢？我们有两种体验很差的方式实现，一种是在当前Activity页面添加安全属性：getWindow().setFlags(WindowManager.LayoutParams.FLAG_SECURE, WindowManager.LayoutParams.FLAG_SECURE)这个添加之后应用在多任务界面中就显示透明样式了：看到

转载 Android不同版本读取已安装应用列表权限相关问题

转载自：[https://www.jianshu.com/p/dee8bc1fb847]https://blog.csdn.net/q384415054/article/details/72972405(https://www.jianshu.com/p/dee8bc1fb847)首先的问题是：Android “读取已安装应用列表”需要申请权限吗？这里我先公布下答案：不需要一个app无非实现一个团队或个人的商业价值和潜在可能，要是规模大的app，这种特征就非常明显。简而言之，这种权限请求无非三种需求

转载 账户注销及用户信息删除的合规实务问答

1. 用户请求注销及删除的法律依据有哪些？1.1《关于加强网络信息保护的决定》、《网络安全法》、《电子商务法》及GB/T 35273《个人信息安全规范》（推荐性标准，下同）均规定，用户有权要求信息控制者删除用户信息。其中，《电子商务法》规定的权利主体是“用户”（我们理解，用户应当包括“企业”和“个人”）；《关于加强网络信息保护的决定》、《网络安全法》规定的权利主体是“个人”。此外，《关于加强网络信息保护的决定》、《网络安全法》规定的删除权（仅为本文表述用）是有法定条件的（例如违法或违约）；《电子商务法

转载 RSA私钥、公钥、明文、密码长度关系

转载 数据安全之个人信息保存期限最小化的判定

本文部分内容引用自：http://www.cfca.com.cn/20190625/100003616.html- 2019年5月28日，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》。- 2020年6月28日-30日，举行的十三届全国人大常委会第二十次会议，《中华人民共和国数据安全法》迎来初次审议。- 已于2020年10月01日开始实施的GB/T 35273-2020《信息安全技术 个人信息安全规范》，也对个人信息保存期限提出要求：个人信息存储期限应为实现个人信息主体授权使用的目的所

转载 《个人信息去标识化指南》笔记

本文部分转载自：https://www.freebuf.com/column/232685.html一、“告知-同意”以外网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。——《网络安全法》第四十二条第一款我国个人信息保护规则围绕着“告知-同意”原则构建，无论是收集、使用几乎都需要向个人信息主体告知并获得同意。征求意见中的《信息安全技术 个人信息告知同意指南（征求意见稿）》就是对“告知-同意”的详尽路线图。

转载 【转】Android安全开发之浅谈密钥硬编码

密钥硬编码的主要形式有：1、密钥直接明文存在sharedprefs文件中，这是最不安全的。2、密钥直接硬编码在Java代码中，这很不安全，dex文件很容易被逆向成java代码。3、将密钥分成不同的几段，有的存储在文件中、有的存储在代码中，最后将他们拼接起来，可以将整个操作写的很复杂，这因为还是在java层，逆向者只要花点时间，也很容易被逆向。4、用ndk开发，将密钥放在so文件，加密解密操作都在so文件里，这从一定程度上提高了的安全性，挡住了一些逆向者，但是有经验的逆向者还是会使用IDA破解的。5

转载 HTTPS 通信原理简述

数字证书，解决公钥传输信任问题如何解决公钥传输问题呢，从现实生活中的场景找答案，员工入职时，企业一般会要求提供学历证明，显然不是什么阿猫阿狗的本本都可称为学历，这个学历必须由第三方权威机构（Certificate Authority，简称 CA）即教育部颁发，同理，server 也可以向 CA 申请证书，在证书中附上公钥，然后将证书传给 client，证书由站点管理者向 CA 申请，申请的时候会提交 DNS 主机名等信息，CA 会根据这些信息生成证书这样当 client 拿到证书后，就可以获得证书上的

原创 一个比较理想化完美的在应用层保证数据安全的例子

假如现在 客户端 向 服务器端 传送数字信息，为了保证信息传送的保密性、真实性、完整性和不可否认性，需要对传送的信息进行数字加密和签名，其传送过程为：1.服务器端 生成 （RSA/SM2） 非对称加密密钥对，将公钥发送给客户端；2.客户端 准备好要传送的数据报文（明文）；2.客户端 对数据报文进行哈希运算**（HMAC-SHA256/SM3），得到一个信息摘要；3.客户端 用自己的私钥 （RSA/SM2） 对信息摘要进行加密得到 客户端 的数字签名，并将其附在数字信息上；4.客户端 生成随机对称加

原创 密码学篇（认证）

本文部分摘取自：https://blog.csdn.net/xjhhjx/article/details/81603107序言密码技术的目的很明确，就是为了解决信息安全问题。就本人从事行业来说，可以用客户端与服务器端的数据通讯过程举例（考虑客户端与服务器端通讯的双向性）。信息安全可分为四类特性：1、数据保密性：为了防止通讯过程中信息被窃听，对应的密码技术有对称加密和非对称加密。（用户敏感数据不应明文传输）2、数据完整性：为了防止通讯过程中信息被篡改，对应的密码技术有单向散列函数、消息认证码、数字

原创 密码学篇（数据完整性）

本文部分摘取自：https://blog.csdn.net/xjhhjx/article/details/81603107序言密码技术的目的很明确，就是为了解决信息安全问题。就本人从事行业来说，可以用客户端与服务器端的数据通讯过程举例（考虑客户端与服务器端通讯的双向性）。信息安全可分为四类特性：1、数据保密性：为了防止通讯过程中信息被窃听，对应的密码技术有对称密码和公钥密码。（用户敏感数据不应明文传输）2、数据完整性：为了防止通讯过程中信息被篡改，对应的密码技术有单向散列函数、消息认证码、数字签

原创 工作中遇到的一些问题，总结一下------环境准备篇

工作中遇到的一些问题，总结一下------环境准备篇：iOS非生产环境的测试：准生产环境、测试环境（具备使用企业证书对ipa包进行签名的条件），使用iTools安装至测试机（未越狱），在“设置->通用”设置信任该企业证书即可；测试环境（不具备使用企业证书对ipa包进行签名的条件），需通过TestFlight或者蒲公英等渠道。其中TestFlight要求使用Apple ID为邮箱的Apple账户（手机号不可以）。下图为TestFlight渠道流程：...

转载 Android Killer中apktool插件更新

软件介绍Android Killer是一款可以对APK进行反编译的工具，它能够对反编译后的Smali文件进行修改，并将修改后的文件进行打包。软件下载这里用的是@昨夜星辰2012 吾爱大神更新的整合版下载地址：链接：https://pan.baidu.com/s/1PRsHNHXDjKvXFVo9bWZUEQ提取码：tfdo解压密码：www.52pojie.cn插件升级这里由于软件...

转载 【转】a++和++a的区别

转自：http://www.imooc.com/qadetail/83948通常说，a++是先取值后运算，++a是先运算后取值。实际上这里涉及好几个基本概念！ 先确定你清楚“运算符”、“表达式”和“语句”的概念：++ 是一个“自增运算符”，自增运算符有两种形式：前缀自增(++a)和后缀自增(a++)。运算符和操作数合起来就是一个表达式（a++、++a都是表达式，a就是操作数）。注意：每一个表...