uniapp 打包加固后v2签名并且证书指纹校验(修复证书签名后换个证书重签还能使用app漏洞)方案

原创 已于 2023-05-18 11:59:05 修改 · 1.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#uni-app #android #javascript #前端 #安全

于 2022-11-24 09:24:25 首次发布
本文详细介绍了如何使用Android Studio的apksigner对Uniapp打包的APK进行签名,并附带了签名证书校验和常见问题。作者还分享了签名证书替换策略及其验证方法,包括获取和检查SHA-1值。

最近有在弄uniapp打包apk加固包实现签名并校验,这边记录一下,顺便说下注意事项
v2签名使用的是android studio的apksigner,一般下载android studio 并安装完SDK后默认路径在C:\Users\用户名\AppData\Local\Android\Sdk\build-tools\33.0.0\lib
在对apk加签前,需要执行以下命令对apk对齐下
进入到C:\Users\用户名\AppData\Local\Android\Sdk\build-tools\33.0.0\lib目录下打开cmd

zipalign -c -v 4 [input.name].apk
zipalign -v 4 [input.name].apk [ouinput.name].apk

执行完命令后需要检查对齐后的app有没有后缀没有的话加一下,不然加签的时候会报错
然后把对齐后的apk以及证书文件搬到apksigner目录执行加签命令

java -jar apksigner.jar sign --ks 打包证书文件.keystore --ks-key-alias 证书别名 --ks-pass pass:证书密码 --key-pass pass:密码 --out 加签后apk的名字 加签前apk的名字

这边详细说一下这个签名重签还能使用的漏洞:
假设我使用A证书给当前app签名, 然后换了一个B证书去签名还能使用当前app
解决思路是:
获取自己签名证书的sha值而后去做校验, 不匹配时退出应用

代码演示:
  onLaunch: function(inf) {
      console.log('App Launch');
		// #ifdef APP-PLUS
		      // 签名证书指纹检验
		      var sha1 = 'baad093a82829fb432a7b28cb4ccf0e9f37dae58';  //修改为自己应用签名证书SHA-1值,是全小写并且中间不包含“:”符号
		      if(sha1!=plus.navigator.getSignature()){
		        //证书不对时退出应用
		        plus.runtime.quit();
		      }
		// #endif
  }```

获取证书sha-1值可执行以下命令

keytool -list -keystore 签名证书文件
咸鱼-*L*
关注
uni-app系列】uni-appApp打包
邓邓子的博客
08-29 1万+
App 离线开发工具包,即 App离线SDK,是把 App 运行环境(runtime)封装为原生开发调用接口,开发者可以在自己的 Android 及 iOS 原生开发环境配置工程使用,包括 Android离线开发SDK 及 iOS离线开发SDK。2.7.0 之后提供 HBuilder-Integrate-AS 工程,可以直接导 入HBuilder-Integrate-AS 工程,直接运行 simpleDemo 项目即可。在 “个人中心” -> “账号信息” 中进行认证操作,输入认证信息并提交。...
Uniapp打包app后报错request:fail abort statusCode:-1 java.security.cert.,跳过ssl验证,解决https问题
weixin_43773218的博客
07-13 2711
问题:uniapp项目运行到H5的时候都没问题,但打包app后,就会报错,因为客户环境是https的,导致接口不通,也试过很多网上说的自己生成证书的, 但也没有用,附上自己生成证书教程。然后尝试把这属性添加到请求方法里,发现不起作用,接口还是不通。查了一下说是证书问题,这里我用的打包方式是使用公共测试证书。最后在uniapp官方文档里,找到个跳过ssl验证的属性。
uniapp打包apk,加固签名
wd1073351726的博客
06-13 2241
uniapp打包安卓apk,加固签名
uniapp加固签名 MD5签名
weixin_45811884的博客
09-18 681
java环境下执行 jarsigner -digestalg SHA1 -sigalg MD5withRSA -verbose -keystore (秘钥文件路径例D:\word.keystore) -signedjar (签名后保持的文件路径和名字:例: D:\app.apk) (需要签名的文件例:D:\app.apk) (秘钥文件别名) ...
apk加固后如何签名uni-app打包的apk)
CSDN for recording problems
01-19 8264
应用加固后,下载的加固包是没有签名信息的,所以还需要签名加固包 腾讯云加固 首先 1、下载加固包到本地 2、配置好 Java 环境 这里自行下载 jdk 然后配置系统变量环境。 3、进入到 jdk bin目录 将下载好的加固保apk丢到bin文件夹下做签名 4、管理员权限cmd进入到bin目录下 注意: 一定要管理员的身份进入! 输入指令 jarsigner -verbose -keystore filename.keystore -signedjar outputfile.apk inp
UniApp APK加固签名全流程指南
而防二次打包则通过校验 APK 签名指纹、包名一致性等方式阻止非法打包行为。 具体操作流程如下:第一步,准备待加固的 APK 文件,并确保该文件已经过正规渠道签名;第二步,登录 360 天御官网,下载并安装客户端...
设备身份认证机制:使用证书或Token确保接入合法性的3种工业级方案
!...# 1. 设备身份认证的核心挑战与...工业场景对认证方案提出了高安全性、低时延、可规模化管理的复合需求,尤其在电力、制造、轨道交通等领域,设备身份的真实性直接关系到生产安全与系统稳定性。 # 2. 基于X.509证书
固件安全加固方案:在PlatformIO中实现签名验证与防篡改机制(军工级标准)
[固件安全加固方案:在PlatformIO中实现签名验证与防篡改机制(军工级标准)](https://rickhw.github.io/images/ComputerScience/HTTPS-TLS/ProcessOfDigitialCertificate.png) # 1. 固件安全加固的背景与军事级标准...
嵌入式设备身份认证设计决策:证书、密钥与PUF三大方案优劣全对比
[嵌入式设备身份认证设计决策:证书、密钥与PUF三大方案优劣全对比](https://x0.ifengimg.com/ucms/2023_30/2A7BE59C484F2A6D504EA2452E3154D7CBF27366_size417_w975_h549.png) # 1. 嵌入式设备身份认证的技术背景与...
轻量级PKI架构设计:支持百万级ESP32设备可扩展证书管理方案(稀缺架构曝光)
![轻量级PKI架构设计:支持百万级ESP32设备可扩展证书管理方案(稀缺架构曝光)](https://substackcdn.com/image/fetch/w_1200,h_600,c_fill,f_jpg,q_auto:good,fl_progressive:steep,g_auto/...# 1....
【纯纯干货】uniapp打包apk后加固
最新发布
DONGXIAOHAI_的博客
04-03 1102
使用360天御进行加固,官网地址:https://jiagu.360.cn/#/app/android/list。密码在uniapp开发后台中查看(若已填写在前端uniapp_appid文档里面也可进行查看)证书密码/别名/别名密码(uniapp云端证书别名密码与证书密码一致)加固进行中(请勿短时间内复提交加固不然会出现错误,如下图2)会打开加固之后的apk文件,需要将此加固后的文件进行签名。选择要加固的apk文件(选择最新打包之后的apk)加固后需签名,所以直接下载工具加固签名
uni-app - App打包
qq_63732605的博客
07-21 5122
8、选择环境变量---->系统变量中的path(双击)进入----->右侧新建---->将刚刚安装地址复制到此。12、选择左下角的传统打包----->点击打包------>继续打包----->等待打包。我的是在:此电脑---->右键选择属性---->高级系统设置。11、填写证书别名(testalias)、证书私钥密码、证书文件。5、如果没有证书,点击右侧如何生成证书,根据文档安装JRE环境。9、任意创建一个文件夹---->在地址栏中输入cmd。7、弹出打包校验---点击继续打包
uniapp签名组件,兼容vue2vue3
c347087870的博客
11-08 1092
vue3使用 由于是两个项目,操作也是不一样,所以获取图片的逻辑也有点不一样。vue2 使用方法,具体的可以根据业务自行修改。
【干货分享】uniapp做的安卓App如何加固
dingxiang234的博客
07-17 3408
本工具用于对android加固后的apk进行签名。版本文件备注Windows版apk签名工具压缩包.exe该版本包含Java运行环境,不需要额外安装。通用版Adoptium。本工具依照Apache 2.0协议开源,可以在这里查看源码。使用说明下载签名工具dx-signer.jar,双击运行。选择输入apk、aab文件。选择签名的key文件,并输入key密码。选择后apk、aab的路径,以apk结束。如:D:\sign.apk点击“签名”按钮,等待即可签名完成。
uniapp打包Android的apk(原生APP-打包),及发布测试
热门推荐
程邓楠的博客
10-06 5万+
跨端(小程序、Android、IOS)项目开发好了,我们如何去利用 uniapp 的云打包打包 apk 文件,然后上传测试呢?今天我们一起来学习一下,一步一步如何实现!
uniappAPP证书、秘钥、应用包名、应用签名
baok1592的专栏
07-30 1万+
uni_appid: uniapp的id秘钥: 生成APP证书时设置的密码应用包名: uniapp打包时有个安卓包名既应用包名应用签名: 常是微信开放平台中特定需要的,下载微信签名工具安装到手机上,输入应用包名后获得一串字符串,既应用签名证书别名: 证书的名称 生成APP证书与秘钥 Android平台打包发布apk应用,需要使用数字证书(.keystore文件)进行签名,用于表明开发者身份。 Android证书的生成是自助和免费的,不需要审批或付费。 可以使用JRE环境中的keytool命令生.
uni-app打包 No enum constant com.pandora.pack.core.PackagePlatform.ANDROID_CLC
nba136667854的博客
11-15 2567
这个问题是原生app打包是选择【云端证书】出现的错误 为了避开这个问题 可以选择 使用自有证书 (每个项目都要新生成自有证书) 生成自由证书官方教程 https://ask.dcloud.net.cn/article/35777 下面是精简过程 第一步执行下面命令testalias 和test.keystore 更改为自定义别名 keytool -genkey -alias testalias -keyalg RSA -keysize 2048 -...
APK签名V1+V2加固
Unity项目开发中遇到的问题
11-09 729
Android签名加固工具V1V2
uniapp安全加固360加固
qq_42351675的博客
11-08 6161
四、签名完成打开文件夹有1168_jiagu_sign.apk即为加固后的apk。三、在工具包里面选择已加固的apk,进行签名
Exchange 2010 自签名证书配置指南
然而,由于默认安装后Exchange会使用签名证书(Self-Signed Certificate)进行SSL/TLS加密通信,这虽然能够实现基本的数据传输加密,但存在严的信任问题——客户端(如Outlook、移动设备或浏览器)在连接时通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值