阿里Android开发手册笔记---安全

最新推荐文章于 2024-05-01 04:25:11 发布
最新推荐文章于 2024-05-01 04:25:11 发布
阅读量394 收藏
点赞数
分类专栏: 规范最佳实践

1、使用 PendingIntent 时,禁止使用空 intent,同时禁止使用隐式 Intent

2、】将 android:allowbackup 属性设置为 false,防止 adb backup 导出数据

3、在实现的 HostnameVerifier 子类中,需要使用 verify 函数效验服务器主机

名的合法性,否则会导致恶意程序利用中间人攻击绕过主机名效验

4、利用 X509TrustManager 子类中的 checkServerTrusted 函数效验服务器端

证书的合法性

5、META-INF 目录中不能包含如.apk,.odex,.so 等敏感文件,该文件夹没有经

过签名,容易被恶意替换

6、Receiver/Provider 不能在毫无权限控制的情况下,将 android:export 设置

为 true

7、数据存储在 Sqlite 或者轻量级存储需要对数据进行加密,取出来的时候进

行解密。

8、阻止 webview 通过 file:schema 方式访问本地敏感数据

9、不要广播敏感信息,只能在本应用使用 LocalBroadcast,避免被别的应用

收到,或者 setPackage 做限制

10、应用发布前确保 android:debuggable 属性设置为 false。

11、使用 Intent Scheme URL 需要做过滤

12、密钥加密存储或者经过变形处理后用于加解密运算,切勿硬编码到代码中

13、除非 min API level >=17,请注意 addJavascriptInterface 的使用

14、Android APP 在 HTTPS 通信中,验证策略需要改成严格模式。说明:Android 
APP 在 HTTPS 通信中,使用 ALLOW_ALL_HOSTNAME_VERIFIER,表示允许和
所有的 HOST 建立 SSL 通信,这会存在中间人攻击的风险,最终导致敏感信息可能

会被劫持,以及其他形式的攻击。

15、Android5.0 以后安全性要求 较高的应用 应该使 用 window.setFlag

(LayoutParam.FLAG_SECURE) 禁止录屏

16、开放的 activity/service/receiver 等需要对传入的 intent 做合法性校验

17、Android WebView 组件加载网页发生证书认证错误时,采用默认的处理方法
handler.cancel(),停止加载问题页面。














mCurry
关注
专栏目录
Flutter(七,阿里Android开发手册
m0_61408386的博客
09-02 107
ThemeData _buildDarkTheme() { const Color primaryColor = Color(0xFF0175c2); final ThemeData base = new ThemeData.dark(); return base.copyWith( primaryColor: primaryColor, buttonColor: primaryColor, indicatorColor: Colors.white, accentColor: const Color(0xF
Android修行手册 - 自定义验证码输入框
2301_76327109的博客
04-22 407
众所周知,人生是一个漫长的流程,不断。
阿里Android开发手册-安全
samli的博客
03-16 541
阿里Android开发手册》中关于安全部分的说明 1. 【强制】禁止使用常量初始化矢量参数构建 IvParameterSpec,建议 IV 通过随机方 式产生。 说明: 使用常量初始化向量,密码文本的可预测性会高得多,容易受到字典式攻击。 iv 的 作用主要是用于产生密文的第一个 block,以使最终生成的密文产生差异(明文相同 的情况下),使密码攻击变得更为困难。 正例...
移动应用安全开发指南(Android)--完结篇
weixin_30340617的博客
01-13 235
如果IE显示格式不正常,请使用chrome浏览器 1、认证和授权 概述 认证是用来证明用户身份合法性的过程,授权是用来证明用户可以合法地做哪些事的过程,这两个过程一般是在服务器端执行的,但也有的APP出于性能提升或用户体验等原因,将其...
安卓开发开发规范手册V1.0
aa13622345769的博客
09-03 544
安卓开发开发规范手册V1.0 之前发布过一份Web安全开发规范手册V1.0,看到收藏文章的读者挺多,发现整理这些文档还挺有意义。 最近周末抽了些时间把之前收集关于安卓安全开发的资料也整理了一下,整理出一份安卓安全开发手册,大部分内容都是在一些博客看到各位师傅的分享。 一、manifest文件安全 1.1 禁止PermissionGroup的属性为空 PermissionGroup可以对p...
Android安全开发规范
迷路啦的博客
07-24 1296
1、Activity 安全    描述:可被外部调用的activity,起因是因为 menifest.xml中Activity的属性explorted=true ,导致可以被劫持或者单个activity调用出现异常。    检测方法:在ADB shell 环境下输入 am start -n com.qihoo.something/com.qihoo360.SomeActivity    修复方案:...
Android App 安全的HTTPS 通信-自定义TrustManager
heng615975867的专栏
04-14 3006
漏洞描述 对于数字证书相关概念、Android 里 https 通信代码就不再复述了,直接讲问题。缺少相应的安全校验很容易导致中间人攻击,而漏洞的形式主要有以下3种: 自定义X509TrustManager。在使用HttpsURLConnection发起 HTTPS 请求的时候,提供了一个自定义的X509TrustManager,未实现安全校验逻辑,下面片段就是常见的容易犯错的代码片段。...
Android应用开发--MP3音乐播放器界面设计(2)
最新发布
2401_84412895的博客
05-01 1014
以上第一个UI是主界面的,稍微美化了一下列表布局music_list_item_layout.xml
移动安全-阿里-Android开发手册
深度安全实验室
06-06 112
Android开发手册
跨平台应用开发进阶(九) :uni-app 实现Android原生APP-本地打包集成极光推送(JG-JPUSH)详细教程_基于android 夸平台应用技术uni-app 的快速集成开发说明
2401_84435739的博客
04-27 433
compile ‘cn.jiguang.sdk:jpush:3.3.4’ // 此处以JPush 3.3.4 版本为例。compile ‘cn.jiguang.sdk:jcore:2.1.2’ // 此处以JCore 2.1.2 版本为例。JPUSH_APPKEY : “应用的 AppKey”, // JPush上注册的包名对应的 appkey。applicationId “com.xxx.xxx” // JPush 上注册的包名.// 选择要添加的对应 cpu 类型的 .so 库。
WEB-INF目录与META-INF目录详解
meijory的博客
12-11 2万+
WEB-INF简介 WEB-INF是Java的WEB应用的安全目录。所谓安全就是客户端无法访问,只有服务端可以访问的目录。 如果想在页面中直接访问其中的文件,必须通过 web.xml 文件对要访问的文件进行相应映射才能访问。 WEB-INF目录的作用 /WEB-INF/web.xml Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规
META-INF目录是干啥用的?
热门推荐
Synchro 明净翼 的博客
09-05 6万+
        平时写的web项目打包成jar文件之后会发现里面不知道为啥多出了一个叫做META-INF的目录,点开之后发现里面还出现了一个manifest.mf文件。出于好奇我在网上找了找这个目录的用途,结果还是没有找到一个比较通俗的解释,我这种菜鸟对那种比较正规的解释还是理解有困难的。         所以总结了一下,我感觉这样解释的话对于我们这些初学者来说还是比较容易理解的。   ja...
Android app security安全问题总结
zhangcanyan的博客
05-08 6857
数据泄漏 本地文件敏感数据不能明文保存,不能伪加密(Base64,自定义算法等)android:allowbackup=false. 防止 adb backup 导出数据Activity intent 的数据泄漏。比如通过 getRecentTask 然后找到对应的intent 拿到数据。Broadcast Intent,自己应用内使用 LocaBroadcast,避免被别的应用收到,或者
阿里巴巴Android编码规范___读书笔记
SkylakeXun的博客
04-09 1525
地址 http://oqt57ylgd.bkt.clouddn.com/阿里巴巴Java开发手册v1.2.0.pdf 资源文件命名 所有的资源文件都以模块名为前缀 布局文件: Activity 的 layout 以 module_activity 开头 Fragment 的 layout 以 module_fragment 开头 Dialog 的 layout 以 mod...
阿里Android开发规范:安全与其他
weixin_34248487的博客
03-06 295
以下内容摘自 阿里巴巴Android开发手册 我们的目标是: 防患未然,提升质量意识,降低故障率和维护成本; 标准统一,提升协作效率; 追求卓越的工匠精神,打磨精品代码。 【强制】必须遵守,违反本约定或将会引起严重的后果; 【推荐】尽量遵守,长期遵守有助于系统稳定性和合作效率的提升; 【参考】充分理解,技术意识的引导,是个人学习、团队沟通、项目合作的方向。 阿里Android开发规范:资源文件...
阿里巴巴 Android 开发手册》(三)
菜鸟_果果
03-03 836
阿里巴巴 Android 开发手册》(三) 手册下载地址 相关文章链接 《阿里巴巴 Android 开发手册》(一) 《阿里巴巴 Android 开发手册》(二) 《阿里巴巴 Android 开发手册》(三) 《阿里巴巴 Android 开发手册》(四) 《阿里巴巴 Android 开发手册》(五) 《阿里巴巴 Android 开发手册》(六) UI 与布局 1、【强制】布...
年末最新整理:阿里、腾讯,android高级开发及实践课后答案
k186____5189的博客
12-26 1129
(27)什么是双亲委托机制,为什么需要双亲委托机制? (28)描述JVM类加载过程。 (29)动态代理是什么?如何实现? (30)动态代理的方法怎么初始化的?(字节跳动) (31)CGLIB动态代理(字节跳动) (32)说说反射的应用场景,哪些框架,原理是什么? (33)Java泛型的特点与优缺点,泛型擦除是怎么回事? (34)List能否转为List。 (35)泛型super和extends的区别。 a.说法2:Java 的泛型,<? super T> 和 <? extends T&gt
Android静态安全检测
u010457514的博客
08-13 2763
1.allowBackup标志位 问题描述: AndroidManifest.xml文件中allowBackup属性值被设置为true时(默认为true),用户可通过adb backup对应用数据备份,导出应用中存储的数据,造成用户数据的泄露。 修复建议 将android:allowBackup标志位设置为false。 2.debuggable标志位 问题描述: AndroidManif...
getWindow().addFlags(WindowManager.LayoutParams.FLAG_SECURE)
weixin_37627774的博客
12-02 6948
文章目录1. WindowManager.LayoutParams1.1 情景再现1.2 分析2.Activity和Window关系 1. WindowManager.LayoutParams 1.1 情景再现 今天看到前辈写的代码有一句这个:getWindow().addFlags(WindowManager.LayoutParams.FLAG_SECURE);我当场疑惑,这是干嘛的呢?(菜鸡勿怪) 结果发现是防止截屏的。 1.2 分析 WindowManager.LayoutParams参数分析:ht
Android5.0以上版本录屏实现,录屏与反控
ShareUs的专栏
03-22 2357
-- Android5.0以上版本录屏实现,录屏与反控(反向控制) Android系统的版本是否大于5.0,并且动态申请一下权限(读写,录音,照相机),录屏的方式是分别录制音频和视频,最后合并成mp4格式。 MediaProjection和MediaProjectionManager。 Android5.0以上版本录屏实现- https://www.cnblogs.com/liuwa/p/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值