apk安全浅谈

最新推荐文章于 2022-08-08 00:36:21 发布
最新推荐文章于 2022-08-08 00:36:21 发布
阅读量732 收藏
点赞数 4
分类专栏: android 安全 文章标签: android 安全 安全方案 安全防护 反编译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23081779/article/details/98053395
版权

apk安全方案

  1. 签名
  2. 混淆
  3. 加固
  4. 核心代码从java移到ndk/c++中
  5. 接口安全处理:验签+https+核心接口加密

一、签名

如果不对app进行签名,其他人员会利用未签名的包进行再打包,加一些广告信息,从而进行非法牟利,对我们造成影响的损失。
签名过程请点击这里

二、混淆

  1. 定义:代码混淆(Obfuscated code)亦称花指令,是将计算机程序的代码,转换成一种功能上等价,但是难于阅读和理解的形式的行为。
  2. 分析:如果不进行混淆的话,文件名、变量名等都可以被别人看到,这样代码将是非常容易被理解从而被找到漏洞进行攻击或者非法牟利的。各大app对进行过反编译后,某宝、某信、某多等全部都会进行混淆,混淆过之后,文件名、变量名等都会变成a、b、c、d等没有含义的字母,从而大大增加破解难度
  3. Android混淆怎么做

三、加固

  1. 定义:通过将核心dex加密,暴漏出一个没有核心代码的壳dex,从而做到安全防护的目的。
  2. 分析:即使进行了混淆,java代码仍然是裸露的,代码逻辑仍然能被分析出来,加固之后,就不能直接看到对应的java代码,除非破解加固算法,而加固算法一般都会放到c++层的so库中,而so库是很难被破解的。
  3. 实现方案:
  • 直接使用第三方的加固工具,360加固、腾讯加固等
  • 自己设计自己的加固方法,更难破解

四、核心代码从java移到ndk/c++中

进行过加固后,如果加固算法被破解,仍然是不安全的,所以核心代码放到c++的so库中,这样做是更加安全的,so库是很难破解的。通过解压各大app会发现lib中会有大量的so库。

五、接口安全处理

如果直接通过http进行通信,而又未做安全处理,通过fiddler等抓包工具可以很容易的抓到接口通信内容,从而对系统进行攻击。所以,要进行三个层次上的安全处理,验签、https和核心接口加密。

  1. 验签:验签是指接口请求时通过一定的算法规则进行签名,并将签名放到请求中,后台收到请求后先对签名进行验证,验证通过再响应请求,验证不通过便不响应请求,从而免遭部分攻击。验签设计及安全防护
  2. https:是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。使用https可以使数据在传输过程中不被抓取。
  3. 核心接口加密:对一些核心接口的数据加密后再传输,从而避免在传输层遭到拦截,从而引起安全问题,可使用RSA、AES等加密算法进行数据加密。
droidDing
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈React Native打包apk的坑
08-28
React Native 打包 APK 的坑 React Native 是一个基于 JavaScript 和 React 的框架,用于...React Native 打包 APK 文件需要注意签名密钥的生成和配置、gradle 配置文件的正确性和安全性,以免出现错误和安全问题。
信息安全APK学习资料
07-18
信息安全APK学习资料:测试题目;入门指导;学习资料。
APK安全性(一)--如何攻击
NoClay's Home
09-18 2521
APK安全性可以通过修改客户端文件篡改客户端行为。攻击者可以让客户端显示自己制作的钓鱼网站,偷取用户信息以下攻击部分摘自知乎:https://www.zhihu.com/question/41368839/answer/112182560防御部分摘自如下博文:http://blog.csdn.net/jiangwei0910410003/article/details/48415225http:/
apk安全的一点思考
dream_caoyun的博客
05-13 292
从普通开发环境来说,思考apk安全性有以下几点 1、防止二次打包:   由于android打包过程中系统只要求自签名,不强制要求第三方权威机构签名认证,所以很容易通过解析apk包,修改或者是删除其中存储签名信息的META-INF文件来进行重新签名打包, 解决方案   在系统安装apk时拿到正确的签名文件,与当前签名文件做对比,是与否进行不同操作 2、防止反编译:GitHub上有很多开源反编译工具...
你的APK安全吗?来WeTest免费测!
wetest_tencent的博客
11-23 1435
作者:We Test小编 商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处。 原文链接:https://wetest.qq.com/lab/view/423.html 腾讯安全联合实验室就曾在《2018上半年互联网黑产研究报告》指出,移动端黑产规模宏大,恶意推广日均影响用户超过千万。 尤其在网络强相关的APP流行年代,当APP应用客户端上传与获取信息,大多通过接口在服务器双向通信,这很...
Android应用中的APK安全性问题
bwf_erg的博客
03-22 493
Android应用中APK安全性一直遭人诟病,市面上充斥着各种被破解或被汉化的应用,破解者可以通过破解工具就能对一个APK进行反编译、破解、汉化等等。 破解之后就可以修改原有代码的逻辑、添加新代码、添加或修改资源、或者更有甚着植入病毒等等,从而破坏APK安全和用户体验,最终伤害到用户和原有开发者。 但事物都是有两面性的,针对Android应用安全的各种方案应运而生,大家比较熟悉一般是加类加壳
apk安全保护及处理
路一
01-11 1007
App的安全问题首先是『数据安全』。App本地存储的数据和网络请求数据中有没有涉及到用户的隐私数据。 还有就是『应用自身安全性』。对某个应用进行逆向,看反编译后的代码有没有敏感信息暴露。反编译后对代码修改,插入劫持代码后重新打包,如果存在这种漏洞,对用户和开发者都构成极大的威胁。
安卓安全上网3个apk
09-05
安卓f安全上网3个apk,安卓资源包,手机端
安兔兔安全检测的apk
最新发布
08-09
【标题】:“安兔兔安全检测的apk” 【描述】:“安兔兔安全检测的apk”是一款针对Android设备的应用程序,旨在帮助用户检测手机或平板电脑上的APK安装包是否安全,防止恶意软件和病毒对设备造成威胁。该工具通过一...
[免费专栏] Android安全APK应用程序分析「附带Smali基础语法解析」
橙留香Park的博客
08-08 1021
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
某app的安全性分析过程
weixin_30781631的博客
01-01 413
交互过程如下,可以发现问题很多 http://www.ixxxx.com//api/index/app图片验证码:{"data":{"imgCode":"","loginName":"1371111111"},"code":"user-checkImgeCode"} 验证手机和验证码:获取到key在注册的时候进行验证,防止恶意注册{"data":{"phoneCode":"454336","r...
Android apk 安全措施详细说明(签名、混淆、加固、H5安全方案)
superzhang6666的博客
12-29 6155
文章简介:当一个Android app 开发完成后,我们总是希望对app进行一些安全措施,防止自己开发的apk被别人二次打包和签名上传到应用市场,同时防止apk被别人拿到之后进行反编译进行二次开发。那么我们应该都做哪些防护措施呢?下面来一一说明。 1、apk签名 打正式包之前,需要对apk进行签名,如果您是用Android Studio开发工具,那么打包、签名就非常简单了。具体怎么签名,网上文章很多,这里不做详细描述。那么我们重点说说为什么要对apk进行签名呢? (1)apk签名是应用程序作者对apk进行
android APK安全性校验
路一
02-07 1491
APK安全性校验获取签名证书keystore的SHA1值和完整性校验获取的classes.dex的SHA-1哈希值字符串 建议后台保存初始值与前端获取sha1值做判断是否可以进行下一步操作
Android apk安全全解
qq_37792992的博客
05-29 495
大家都知道我们apk是很容易被有些人破解的,特别是涉及到支付方面的app,如果被有心人换掉支付,二次打包那就是很可怕的事情了。今天来给大家分享一些关于app安全方面的技术:1.接口参数加密签名市面上常用的加密签名方式有两种:MD5,RSAMD5加密相信大家都已经很熟悉了,这里就不贴代码了。RSA加密算法代码如下:public class RSA{ public static fina...
Adhrit一键分析App的安全风险
哆啦安全
02-02 462
一、radare2的安装更新 2 二、Adhrit安全分析App(命令) 3 (1)、搭建Adhrit的安全测试环境 3 (2)、Adhrit的使用方法(提取App的信息) 3 (3)、Adhrit安全分析App(1.apk) 7 (4)、Adhrit安全分析App(2.apk) 9 三、Adhrit安全分析App(Web) 16 一、radare2的安装更新 git clone https://github.com/radareorg/radare2....
安全测试(五)Android APK软件安全 APP应用安全 手机软件安全 apk安全 apk反编译 应用日志窃取 apk漏洞 应用软件本身功能漏洞 高危权限泄密风险等 移动应用常规安全讲解
Benjamin CSDN博客
01-13 5910
安全测试(五)APP应用安全 手机软件安全 Android APK软件安全 apk安全 apk反编译 应用日志窃取 apk漏洞 应用软件本身功能漏洞 高危权限泄密风险等 移动应用常规安全讲解Android移动端安全 1、APP 接口安全 未加密 2、APP 接口安全 SQL、XSS、越权 3、APK 应用日志窃取 4、APP高危权限 5、apk反编译 5.1 apk反编译 简介 5.2apk反编译 工具 5.3 apk反编译 查看代码混淆
安卓APK安全权限知识
艾文-- 技术总结学习专栏
07-24 958
随着Android日趋红火,其用户数也节节上升,同时还催生了一批和官方Andriod市场类似的第三方应用软件商店。这些第三方应用商店进一步丰富了Android软件的数量,但是因为它们的准入门槛较低,监管相对宽松,让不少盗版/克隆应用混迹在正规软件应用里。 令人担心的是,在这些发布盗版应用的人中,有部分居心不良者存在,通过这些应用传播针对Android系统的木马病毒。 来自移动安全厂商L
苹果ipa 安卓apk 和APPX 安全扫码和分析平台
08-14 577
MobSF 是github上开源的一个安全扫码APP的一个平台,很准,很强大,分析的漏洞也很全面;支持静态和动态分析 安装办法自行谷歌搞定,主要环境 Python3 、Java,跨平台 支持windows mac linux 在windows安装的只支持扫描和分析 安卓的APK 和 appx 在linux和mac上安装的支持全部app分析(ipa/apk/appx) 运行界面: 由于我是windows用户,去网上下载了个抖音的apk包进行了分析,结果如下: 点击 static rep...
Android app 安全
vivian的专栏
04-27 393
App安全 从一款被篡改的软件谈 Android App 的安全之路 《Android攻防实战》读书笔记——保护App安全 安全问题 APP安全问题 反编译 APK反编译 apk加固 Apk源码的加固(加壳)原理解析和实现 Android中的Apk的加固(加壳)原理解析和实现 Android中的Apk的加固(加壳)原理解析和实现 Android中对Nativ...
Android APK自我保护技术解析
"APK自我保护方法探讨" 在Android开发中,由于APK应用的主要代码以Java语言编写,而Java代码相对容易被逆向工程解析,...开发者应当结合具体应用需求,选择合适的方法组合,构建多维度的防护体系,以提高APK安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值