app的安全性(一)

最新推荐文章于 2022-12-09 10:01:23 发布
最新推荐文章于 2022-12-09 10:01:23 发布
阅读量654 收藏 1
点赞数 1
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laozhou80/article/details/50583744
版权

Activity和service的安全性。

  Activity 可以被其他的Activity启动起来。 如果启动该activity的应用不是受信的activity,那么导致的结果是未知的。

  一种情况,你的activity跑到了别的应用的task里面,这样别的应用在返回的时候,就会调用出你的activity。当然了这种情况在某种意义上可以提高用户体验。

  另一种情况,别人通过满足你在Mainfest里面定义的inflate来调用你的activity。

  

   第一种情况的出现是因为在mainfest里面对application或者activity定义了taskAffinity和allowTaskReparenting

<application

  android:taskAffinity=“xxx.xxx”

  android:allowTaskReparenting="true"

<activity android:name="XXXActivity"/>

</application>

   这样应用程序包名为xxx.xxx就可以和你在同一个task里面了,就可掉出你的Activity了。例如应用A和B有相同的taskAffinity,则A启动后,切后台。B启动,在home键的的和时候A就被拉起了。

android:taskAffinity意思是:这个application或者activity定义的Task名为xxx.xxx。如果不定义,则默认为本应用程序的包名。

android:allowTaskReparenting="true"的意思是,该activity或者application可以更改从属task。

因此建议不要设置这两个属性,放置其他应用程序劫持你的task。

第二种情况的出现因为在mainfest里面对activity定义了exported=true

      这个属性的意思就是外面的apk你可以调用我了。至于怎么调用,一般会定义一个filter。如此暴露必然会引起问题规避这样的问题是加校验如:Context.checkCallingPermission()或在mainfest文件里面添加校验android:permission=“com.xxxxx.xxxx”

Provider的安全性

Provider提供数据访问的接口,具有数据的增,删,改,查。所以这种组件自身需要校验更加严格。其中需要以下几种校验:

1    url校验,最基础的校验。

2    permission校验,如果没有定义某一权限,则不予以回复或者给出限定性的结果。(动态+静态)

3    contentValues校验,防止访问没有开放上的数据内容。

Broadcast的安全性

对于广播的接收方来说,如果只接收应用内部的广播,则需要指定android:exported=false,从而和外界app隔离。或者使用本地广播LocalBroadcastManager来提高安全性。

对于广播的发送方来说,为了避免发送信息被劫持或者数据被窃取,需要将接收方写死到类级别。Intent.setClass(My.this, Receive.class)。

APP开发:要记住一些安全注意事项
01-05 2703
当您的公司开发APP时,安全性仍然是主要关注点。平均而言,智能手机用户手机上有超过30个APP,他们每天打开其中9个APP。每个人都喜欢APP - 包括黑客!随着APP越来越受欢迎,网络攻击的可能性也越来越大。 当应用被黑客入侵时,用户会遭受私人信息的泄露。网络犯罪分子还使用APP来操纵用户手机的其他区域。这样可以访问私人对话,照片和其他个人内容。这些黑客有能力破坏声誉并破坏生命。 当黑客破坏A...
APP安全防护常见问题分析
imtik的博客
10-10 3222
常见的 App 安全问题 据2017年上半年移动安全报告显示,近五年安卓端病毒数量呈直线上升趋势。到2016年,这一数字已大幅上升至1743万,预计2017全年病毒量将接近2000万。亚洲仍然是病毒重灾区,而中国2017年上半年以约242万的病毒数量位列全球第一,我们所面临的漏洞是非常严峻的。 常见安全问题分析 上图可看出Android研发要点约450个,包含组建安全、配
App安全之网络传输安全
weixin_33905756的博客
04-18 1223
移动端App安全如果按CS结构来划分的话,主要涉及客户端本身数据安全,Client到Server网络传输的安全,客户端本身安全又包括代码安全和数据存储安全。所以当我们谈论App安全问题的时候一般来说在以下三类范畴当中。 App代码安全,包括代码混淆,加密或者app加壳。 App数据存储安全,主要指在磁盘做数据持久化的时候所做的加密。 App网络传输安全,指对数据从客户端传输到Server...
再论App安全性
weixin_30307921的博客
06-18 128
现代人早已脱离不了智能手机,几乎人手一机,常见人边走边滑,着实危险。大家用手机App购物,用网银App付费,用股票App下单炒股,太方便了所以成了家常便饭。 没错,就是因为太方便,所以大多只会留意好不好用,而鲜少有人会去留意是否够安全。当然了,所谓够不够安全其实牵涉到许多方方面面,包括网络传输、加密算法,还有后端服务器也是整体安全的一环,在此我也不打算做学术研讨,什么信息论、密码学..就先...
APP安全问题
u012886265的专栏
04-08 467
数据安全: 未防御屏幕录制: 在一些涉及隐私的操作界面,禁止屏蔽录屏/截图事件。可以在一定程度上避免用户的信息泄露 解决: //禁止截屏 this.getWindow().addFlags(WindowManager.LayoutParams.FLAG_SECURE); //清除禁止截屏标志 winddow.clearFlags(WindowManager.LayoutP...
手机App安全性测试初探
weixin_30673715的博客
01-06 147
        目前手机App测试还是以发现bug为主,主要测试流程就是服务器接口测试,客户端功能性覆盖,以及自动化配合的性能,适配,压测等,对于App安全性测试貌似没有系统全面统一的标准和流程,其实安全性bug也可以是bug的一种,只不过更加隐秘,难以发现,尤其针对于手机App。近期时间比较充裕,研究了一下安全性相关的东西,并对于我们自身的产品测试了一下(更主要的目的是游戏作弊刷分),发现...
李开复谈软件外包及软件安全(一)
≡≡奋斗中的猫≡≡
08-31 1226
   中国的软件产业的路如何走?适合走印度外包模式吗?中国的软件产业的发展切入点和突破点是什么?针对这些问题,11月4日,借微软亚洲工程院成立的机会,记者专访了来京参加成立仪式的微软副总裁李开复博士。     ChinaByte记者:李博士,你如何看待中国的软件产业?   李开复:很多人爱拿印度和中国比。人力资源方面两边都很强,相对印度,中国很大的优势是
APP通用测试用例(覆盖安全性_易用性_性能_安装_更新).xlsx
04-13
最全面的APP测试通用用例。覆盖很全,包括安全性测试、易用性测试、性能测试、安装卸载、更新推送!如果你准备设计测试用例, 这是一份必备的宝典
互联网 背景下的手机APP安全性测试研究.pdf
08-26
【互联网背景下的手机APP安全性测试研究】 随着移动互联网的飞速发展,手机APP已经成为人们日常生活中不可或缺的一部分。然而,伴随着这种便利性,手机APP的安全问题日益凸显,这不仅威胁到用户的个人信息安全,还...
校园APP安全应用的可行性研究.pdf
08-26
在开发校园APP时,可以参考现有的专业文献和行业标准,如ISO/IEC 27001信息安全管理体系,以及NIST网络安全框架等,确保APP安全性符合国际和行业的最佳实践。 7. 用户教育与意识培养: 提高师生的安全意识同样...
app安全评估操作指南及填写范例.zip
10-24
"app安全评估操作指南及填写范例.zip" 文件包提供了一份详细的指南,旨在帮助开发者理解并执行应用安全评估,同时包含了一个安全评估报告的填写范例,这对于准备将应用上架到各大应用市场的开发者来说,是非常实用的...
2015年移动APP安全性或成为APP核心竞争力
01-05
因此,对于这些独立APP而言,保障安全性也成为了它们在市场中存活的一个重要因素。 5. 智能服务与APP的结合:随着智能硬件设备的广泛销售,移动APP的角色也发生了转变,不再只是提供单一服务的工具,而是成为了智能...
App 数据安全测试
qq_38571773的博客
12-09 381
app数据库
进行app性能和安全性测试的重要性
weixin_34245082的博客
05-09 161
如何让用户感觉App运行速度更快呢,这需要对App进行性能测试。限制App性能的因素按照App的系统结构分为App自身和App需要用到的后台服务。 测试App连接网络的速度 一般采用在模拟Mock环境下进行测试,测试方法更多使用的是在App的log中添加时间戳的方式计算时间,例如使用Apple公司提供的iPhone Configurati...
android手机安全性测试手段
weixin_30530523的博客
04-25 227
罗列一下自己常用的android手机安全性测试攻击手段: 1. fiddler和tcpdump+wireshark抓包分析,模拟修改http请求参数,检验漏洞 2. 修改AndroidManifest.xml文件中debuggable属性,打开logcat输出,查看是否有敏感信息输出 3. 将apk包转换成jar包,反编译出源码,查看其是否混淆,或者能否通过代码看出主要产品逻辑 4....
APP的安全
mdp1234的博客
04-09 1323
MobSF工具python2.7web页面 2.1 反编译保护 2.1.1 问题描述 APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译会造成源代码被恶意者读取,以及APP的逻辑设计, 反编译方法 我们一般想要反编译一个apk,无非就是想获得三样东西:图片资源、XML资源、代码资源 一.图片资源获取 首先准备一个apk,这里是一个.apk后缀的文件,我们先把后缀改成,zip,打开zip文件在res目录下,我们就可以获取到我们需要的图片了...
增强APP安全性(二)
Jesse_liao的博客
01-17 625
增强APP安全性(二) –通过混淆ProGuard的常用语法 # 指定代码的压缩级别 -optimizationpasses 5 # 是否使用大小写混合 混淆时不会产生形形色色的类名 -dontusemixedcaseclassnames # 是否混淆第三方jar -dontskipnonpubliclibraryclasses
APP安全性测试总结-移动APP安全测试
12-05 2335
安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。dex2jar主要是用来把之前zip解压出来的classed.dex转成jar包的jd-gui主要是用来打开Jar包的APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译会造成源代码被恶意者读取,以及APP的逻辑设计,我们一般想要
App安全(一) Android防止升级过程被劫持和换包
热门推荐
Tamic (大白)
08-17 1万+
文/ Tamic 地址/ http://blog.csdn.net/sk719887916/article/details/52233112 前言APP 安全一直是开发者头痛的事情,越来越多的安全漏洞,使得开发者越来越重视app安全,目前app安全主要有由以下几部分APP组件安全Android 包括四大组件:Activitie、Service、Content Provider、Broadba
驾考APP安全性需求分析
最新发布
05-31
驾考APP安全性需求分析可以从以下几个方面考虑: 1. 用户隐私保护:驾考APP需要保护用户的个人信息,包括姓名、身份证号、驾照信息等。在用户注册和登录过程中,应该采用安全的身份验证方式,如短信验证码、指纹识别等。同时,驾考APP需要保证用户信息的机密性和完整性,防止信息泄露和篡改。 2. 数据安全保护:驾考APP需要保护考试题目库、用户考试成绩等数据的安全性。这些数据应该采用加密存储和传输,防止被攻击者窃取或篡改。同时,驾考APP需要保证数据的可靠性和一致性,防止数据丢失或不一致导致的错误。 3. 应用程序安全:驾考APP需要保证应用程序本身的安全性,防止黑客攻击、恶意代码注入等攻击。开发者应遵循安全编码规范,对应用程序进行安全测试和漏洞扫描,及时修补漏洞和升级版本。 4. 网络安全保护:驾考APP需要保证网络通信的安全性,防止网络攻击、拦截和窃听。应该采用安全的通信协议和加密算法,如SSL/TLS协议、RSA算法等,保证通信的机密性和完整性。 5. 服务可用性保证:驾考APP需要保证服务的可用性和稳定性,防止DDoS攻击、服务器故障等导致的服务不可用。开发者应采用负载均衡、容灾备份等技术手段,保证服务的可靠性和稳定性。 综上所述,驾考APP安全性需求是一个系统性的工程,需要从多个方面进行考虑和实现。开发者需要具备安全编码和安全测试的能力,保证应用程序的安全性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值