Android应用安全分析大纲

最新推荐文章于 2022-08-25 18:44:20 发布
最新推荐文章于 2022-08-25 18:44:20 发布
阅读量255 收藏 1
点赞数
分类专栏: android 文章标签: 安全分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33344834/article/details/82979354
版权

Android应用安全分析大纲

一、安全威胁分析

1、首先绘制数据流图,即APP使用到的业务数据走向。对于外部交互频繁的应用时十分必要的
2、识别出可信任的边界,即哪些代码逻辑是完全由APP控制,识别出可信任的边界后,对于不可信任(不能完全控制)的对象要进行安全风险分析

二、安全分析的几种方式

外部交互分析

通过识别可信任边界得到的不可信对象,进行危险分析:
1、仿冒:外部对象被仿冒,导致交互的数据和行为被非法探测
2、抵赖:与外部交互的行为,没有进行日志记录。导致攻击者否认攻击
3、隐私:与外部交互涉及到隐私数据传递,没有进行隐私信息的保护或者没有正式的协议声明

数据流分析

通过绘制数据流程图,识别出数据的流向,对于每一次流向进行安全分析;
1、篡改:如果传输的数据流被篡改,接受者收到修改后的数据将导致使用错误的数据进行业务处理,使业务异常。
2、信息泄露:若系统中的敏感信息(个人数据、密码、密钥等)泄露,将对系统的机密性造成重要影响。
3、拒绝服务:通过传递异常数据,使服务端拒绝服务

处理过程分析

通过识别可信任边界得到的可信对象,进行危险分析(可信对象也可以被仿冒):
1、仿冒:可信对象被仿冒,导致交互的数据和行为被非法探测
2、应用篡改:发布的Android应用被篡改
3、抵赖:与外部交互的行为,没有进行日志记录。导致攻击者否认攻击
4、信息泄漏:在处理过程中,分析是否有信息泄露的风险

数据存储分析

主要考虑数据存储的位置是否可以被非法查看、篡改即可

明宇小生
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android安全:So分析
1024工场
08-15 5438
一、So简介 1.Android底层是Linux,Linux本身就是使用C/C++语言,Android使用了一个Dalvik虚拟机才使得应用程序开发使用Java语言; 2.Dalvik支持JNI编程方式,第三方应用完全可以通过JNI调用自己的C/C++动态库(so文件),使用“Java+C”编程方式; 3.NDK(Native Development Kit)是“Java+C”开发的工具库,保证程序的兼容性、调试性和调用API方便性,也避免Java的不足,如安全性;
(二)安全计算-Threat Modelling威胁建模
HETUW的博客
10-15 1767
(二)安全计算-Threat Modelling威胁建模
android数据流图,数据流配置  |  Android 开源项目  |  Android Open Source Project
weixin_35953155的博客
05-29 336
Android 10 引入了一些功能,允许相机客户端针对具体使用情形选择最佳的摄像头数据流,并确保摄像头设备支持某些数据流组合。数据流配置是指在摄像头设备中配置的单个摄像头数据流,而数据流组合是指在摄像头设备中配置的一组或多组数据流。如需详细了解这些功能,请参阅推荐的数据流配置和用于查询数据流组合的 API。参考实现我们提供了推荐的数据流配置和用于查询数据流组合功能的 API 的供应商端参考实现。...
Android Camera数据流完整分析
litao0976的专栏
10-11 1617
Android Camera数据流完整分析 之前已经有很多文章一直在讲述Android Camera,这里也算是进行以下总结 我们依旧从camera 的打开开始,逐步看看camera的数据流向,内存分配,首先打开camera的第一步,实例化camera类,onCreate被调用,在这个方法中到底做了些什么事情,也在这里做一下总结: 1.实例化FocusManager 2.开
数据流图的画法
热门推荐
xianshengsun的博客
04-09 21万+
数据流图的画法 数据流图也称为数据流程图date flow diagram , DFD,是一种便于用户理解和分析系统数据流程的图形工具,他摆脱了系统和具体内容,精确的在逻辑上描述系统的功能、输入、输出和数据存储等,是系统逻辑模型的重要组成部分。 数据流图的基本组成成分 数据流:是由一组固定成分的数据组成,表示数据的流向。值得注意的是,数据流图中描述的是数据流,而不是控制流。除了流向数据存
android 手机开发技术 移动应用开发技术-教学大纲.docx
02-06
11. 掌握开发Android应用的基本步骤,包括规划、设计、开发、测试和发布到Android Market。 【考核方式】 课程考核采取过程考核与期末测试相结合的方式,过程考核关注出勤和实训完成度,实践考核则评估学生对案例和...
中科院计算所Android开发技术培训大纲.doc
07-05
- PhoneGap简介:介绍PhoneGap如何作为混合应用开发框架,让开发者使用HTML5、CSS3和JavaScript创建原生Android应用。 - 操作系统和开放联盟:讨论PhoneGap与Android操作系统的关系,以及其在开放源码社区的角色。...
一级网络安全素质教育考试大纲(2022年版).pdf
06-11
- **浏览器与应用安全**:掌握浏览网页及使用各种网络应用安全措施,包括浏览器设置、电子邮件发送接收、即时通讯软件使用等。 - **电子支付安全**:了解网上购物、防范电信诈骗和仿冒页面的安全措施。 - **局域网...
Android开发工程师学习路线图
最新发布
06-13
这包括了解Android应用的基本组成(Activity、Service、BroadcastReceiver、ContentProvider)、生命周期管理以及Intent机制。同时,学习Android的四大组件如何协同工作,以及如何使用XML进行UI布局设计。 对于UI...
Wap ,Android 学习大纲,教学计划
09-12
##### Wap安全分析 - **安全技术概览**:讲解数字签名、无线传输安全协议及Wap数字凭证的管理。 - **服务器配置**:教授Wap服务器凭证申请流程与服务器安全配置方法。 ##### Wap扩展业务分析 - **业务对比**:对比...
软件工程中的数据流图
Android开发资源小栈
12-15 1648
1.分层数据流图的一致性和完整性 一致性:是指分层数据流图中不存在矛盾和冲突。 完整性:是指分层数据流图本身的完整性,即是否有遗漏的数据流,加工等元素 2.检查数据流图的一致性和完整性: 检查一致性: 1‘父图与子图的平衡 2’数据守恒    一是指:一个加工所有输出数据流中的数据,必须能从该加工的输入数据流中直接获得,或者能从该加工的处理而产生    二是指:加工未用到的输入数据
android 一些流程图
JAVA之路
04-24 1960
'Activity  创建流程 Vi编辑器命令
数据流图DFD画法
浮白
01-06 8万+
数据流图(DFD- Data Flow Diagram)让系统分析者弄清楚“做什么”的问题,其重要性就不言而喻了。那么我们怎么画数据流图呢?数据流图与系统流程图又有什么区别呢? 步骤1数据流图里包含的内容 数据流图描述的是系统的逻辑模型,图中没有任何具体的物理元素,只是描绘信息在系统中流动和处理的情况。因为数据流图是逻辑系统的图形表示,即使不是专业的计算机技术人
(一)2. 数据流图的示例
潇湘雨
08-06 8万+
 画法:         第0层DFD称为系统基本模型,可以将整个软件系统表示为一个具有输入和输出的黑匣子。用一个圆圈表示。         上一层DFD中的每一个圆圈可以进一步扩展成一个独立的数据流图,以揭示系统中程序的细节部分。          循序渐进继续进行,直到最低层的图仅描述原子过程操作为止。 每一层数据流图必须与它上一层数据流图保持平衡和一致,因此,子图的所有输入输出流要...
STRIDE威胁建模
dl71181的博客
09-09 1万+
一、什么是威胁建模 简单的来说,威胁建模就是通过结构化的方法,系统的识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的一个过程。 威胁建模是一个非常有用的工具,它的核心是“像攻击者一样思考”。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展,强迫我们站在攻击者的角度去评估产品的安全性,分析产品中每个组件是否可能被篡改、仿冒,是否可能会造成信息泄露、拒绝攻...
Android应用安全现状与解决方案(学习资料)
北漂周的专栏(微信:stchou_zst)
06-15 1万+
**   安全对一些涉及到直接的金钱交易或个人隐私相关的应用的重要性是不言而喻的。Android系统由于其开源的属性,市场上针对开源代码定制的ROM参差不齐,在系统层面的安全防范和易损性都不一样,Android应用市场对app的审核相对iOS来说也比较宽泛,为很多漏洞提供了可乘之机。市场上一些主流的app虽然多少都做了一些安全防范,但由于大部分app不涉及资金安全,所以对安全的重视程度不够;而且由
AWS教你如何做威胁建模
weixin_47208161的博客
08-25 1192
写在前面准备威胁建模组建虚拟团队四个阶段的结构化思考车联网威胁建模例子1、我们在做什么?为车辆登记功能创建系统模型2、会出什么问题?识别功能威胁3、我们要怎么做?确定威胁的优先级并选择环节措施4、我们做得足够好吗?评估威胁建模过程的有效性附录威胁建模模板参考资料AWS教你如何做威胁建模写在前面 最近的“AWS re:Inforce 2022”介绍了众多的安全、身份和合规的产品和服务,笔者整...
实践之后,我们来谈谈如何做好威胁建模
美团技术团队
04-08 1万+
总第444篇2021年 第014篇对美团安全团队来说,引入领先的安全技术设计能力,构建全方位、多维度智能防御体系,是我们不懈追求的目标。美团有众多基础设施,核心业务系统也需要以成熟的方法论...
中职计算机应用基础教学大纲概览与目标
计算机应用基础-教学大纲是一份针对中等职业学校学生的公共基础课程大纲,旨在培养学生具备基本的计算机应用知识和技能,以及解决实际问题的能力。该课程的重要性和目标主要体现在以下几个方面: 首先,课程性质与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值