android 开发传输安全,移动应用安全开发指南(Android)--数据传输

最新推荐文章于 2024-05-09 21:07:19 发布
最新推荐文章于 2024-05-09 21:07:19 发布
阅读量192 收藏
点赞数
文章标签: android 开发传输安全

概述 移动应用很多时候并非孤立存在,在多数场景下存在前、后台以及第三方服务之间进行数据交互,因此,在网络中传输敏感数据在所难免,如果不使用正确安全的传输方式,有可能存在敏感信息泄漏的风险。

安全准则 A.使用SSL协议(或基于SSL的协议)传输敏感数据。

B.验证服务器证书的有效性,防止中间人攻击,当证书有效性验证失败时应强行断开连接,而不是提示用户。

C.尽可能地减少使用短信发送敏感信息。

D.增强项:应用程序可以对敏感数据进行一次独立加密后再通过SSL进行传输。

详细描述 A.可以使用“证书锁定”(certificate pinning)的方式验证证书的有效性,即在代码中精确的验证当前服务器是否持有某张指定的证书。X509TrustManager接口是实现证书锁定一种方法,它通过在SSL回调函数中读取服务器证书密钥并和程序预埋的证书密钥进行对比,如果两者不一致则强行断开链接(参考附录2)。

备注 A.任何申请了READ_SMS permission的应用都可以读取短信内容,故应尽量减少使用短信发送敏感信息。

B.应用自身进行一次独立加密的好处是,当出现SSL协议相关漏洞(比如影响巨大的openssl heart bleed漏洞)时能够有效减少损失。

C.“证书锁定”的缺点是:由于证书是预埋在应用程序内的,是当服务器更新证书时,应用程序也要同步更新。

注:如果IE显示格式不正确,请使用chrome浏览器

附录2:

使用“证书锁定”验证证书有效性方案:

/*使用https需要定义实现X509TrustManager接口的类,并重写里面的方法,这些方法会在建立SSL链接的过程中被自动调用*/

public final class PubKeyManager implements X509TrustManager

{

/*此处存放服务器证书密钥*/

private static String PUB_KEY =

"30820122300d06092a864886f70d01010105000382010f"

+ "003082010a0282010100973a0569971991dc9446f309ec0af7646377dca80eb1"

+ "e1357f5fb5c69d046d03d23f6cf743d155e7b44d834cf71d6500a8b1e38110b5"

+ "35ad07212a50e1f3ab497acfde74e065018d64136d14d63d04604124aacd74ea"

+ "037a5f8d6894aadd58f7774655761c9fba22426935794f6740fa89b6f7e902b8"

+ "e02c0b842116272701c9edaef62c977b0df488847c2e0a75028865be34c98903"

+ "be11a2cf4495acec5c958ddf64619808e641bac64ab432e4638e969f4214d7bc"

+ "88db81feaef4d5d329f93f2e79535b2d00c01145823b664ca7ab8db9de858d29"

+ "161c6cce86decb6a4f66cf86afb79e182a5b5a2bb6d8795af749f7af356aef2e"

+ "64b6ae785ff88d456f970203010001";

/*https协商中获取的服务器证书链(chain)将自动传入该方法*/

public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException

{

if (chain == null) {

throw new IllegalArgumentException("checkServerTrusted: X509Certificate array is null");

}

if (!(chain.length > 0)) {

throw new IllegalArgumentException("checkServerTrusted: X509Certificate is empty");

}

/* authType为建立SSL链接时使用的非对称加密算法,RSA为业界主流算法*/

if (!(null != authType && authType.equalsIgnoreCase("RSA"))) {

throw new CertificateException("checkServerTrusted: AuthType is not RSA");

}

/*执行SSL/TLS常规性检查*/

try {

TrustManagerFactory tmf = TrustManagerFactory.getInstance("X509");

tmf.init((KeyStore) null);

for (TrustManager trustManager : tmf.getTrustManagers()) {

((X509TrustManager) trustManager).checkServerTrusted(chain, authType);

}

} catch (Exception e) {

throw new CertificateException(e);

}

/*将编码后的密钥转换成16进制形式的大整数*/

RSAPublicKey pubkey = (RSAPublicKey) chain[0].getPublicKey();

String encoded = new BigInteger(1, pubkey.getEncoded()).toString(16);

/*比较预埋证书密钥和服务器证书密钥是否一致*/

final boolean expected = PUB_KEY.equalsIgnoreCase(encoded);

if (!expected) {

throw new CertificateException("checkServerTrusted: Expected public key: "

+ PUB_KEY + ", got public key:" + encoded);

}

}

}

}

林语堂表弟
关注
[整理]Android移动开发数据传输安全
随笔日志
03-16 3925
Android移动开发数据传输安全 整理自 Fish_Ou 0x0 概述        移动应用很多时候并非孤立存在,在多数场景下存在前、后台以及第三方服务之间进行数据交互,因此,在网络中传输敏感数据在所难免,如果不使用正确安全传输方式,有可能存在敏感信息泄漏的风险。 0x1安全准则 A.使用SSL协议(或基于SSL的协议)传输敏感数据。 B.验证服务器证书的有效性,防
android 数据传输安全
weixin_34212189的博客
04-09 99
为什么80%的码农都做不了架构师?>>> ...
Android应用安全数据传输安全
weixin_33962923的博客
04-13 250
  Android软件通常使用WIFI网络与服务器进行通信。WiFi并非总是可靠的,例如,开放式网络或弱加密网络中,接入者可以监听网络流量;攻击者可能 自己设置WIFI网络钓鱼。此外,在获得root权限后,还可以在Android系统中监听网络数据。 不加密地明文传输敏感数据   最危险的是直接使用HTTP协议登录账户或交换数据。例如,攻击者在自己设置的钓鱼网络中配置DNS服务器,将软件要连接的...
Android安全问题-网络传输
听闻的博客
11-04 507
前言 Android开源,开源就意味着无线可能和无线的不安全。现在(2016)市面上的所有Android安全方法基本上有以下几种: 1.代码混淆。 2.so处理重要逻辑。 3.加壳 这些都是在客户端做的处理,然而,如果破解客户端能获取的利益大于破解的难度,那么基于开源的Android基本还是会被"破解大军"进行"三光政策"的。既然都会被破解,那还做这些做什么呢?这就是
Android应用开发-手机发展史.pptx
12-09
Android应用开发】\n\nAndroid应用开发是针对运行Android操作系统的移动设备,如智能手机和平板电脑进行应用程序的开发过程。Android系统以其开源性、丰富的API库和灵活的开发环境吸引了大量的开发者。从手机发展...
Android应用源码---手持扫码枪APP开发源码.rar
01-03
1. **Android Studio集成开发环境**:作为Android应用开发的主流工具,Android Studio提供了丰富的功能,包括代码编辑、调试、构建、测试等。开发者需要熟悉其界面布局、项目结构以及Gradle构建系统。 2. **...
Android安全攻防指南_硬件层的攻击_编程案例解析实例详解课程教程.pdf
05-05
Android安全攻防指南》一书中,硬件层的攻击部分主要探讨了在Android系统广泛应用的背景下,如何针对各种嵌入式设备的硬件进行攻击和逆向工程。Android因其可移植性、灵活性和开放性,成为了嵌入式设备操作系统中...
基于Android虚拟应用技术的数据安全存储方案.pdf
09-21
在当前的移动应用环境中,数据安全存储是至关重要的,尤其是对于Android客户端应用开发而言。本文将探讨基于Android虚拟应用技术的数据安全存储方案,为开发者提供专业指导和参考文献。通过虚拟化技术,我们可以实现...
Android-ParrotSnoop-用于IP数据包捕获的Android应用
08-13
3. **安全评估**:检测潜在的隐私泄露,如未加密的敏感数据传输,或者不安全的网络连接。 4. **学习网络协议**:对于初学者,ParrotSnoop提供了一个实际环境来观察和理解不同网络协议的工作机制。 ParrotSnoop-...
APP与后台服务器数据通讯的安全问题
02-26
android移动开发与后台进行数据通讯的协议和方式方法,以及存在的安全问题有哪些,以及这些问题的解决方法
Android网络数据传输安全——AES加密解密(ECB模式)
程龙的博客
03-19 1488
AES介绍 高级加密标准(英语:Advanced Encryption Standard,缩写:AES),在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。经过五年的甄选流程,高级加密标准由美国国家标准与技术研究院(NIST)于2001年11月26日发布于FIPS PUB 197,并在2002年5月26日成...
Android怎么考虑数据的安全
轻描时光
01-09 393
怎么考虑数据传输安全性 如果应用传输的数据没有任何安全措施,攻击者设置的钓鱼网络中更改DNS服务器。这台服务器可以获取用户信息,或充当中间人与原服务器交换数据。在SSL/TLS通信中,客户端通过数字证书判断服务器是否可信,并采用证书的公钥与服务器进行加密通信。 ...
Android网络传输安全校验机制
u012750638的博客
11-21 181
待完善
网络安全最全无恒实验室联合GORM推出安全好用的ORM框架-GEN,2024年最新Flutter全方位深入探索
最新发布
2401_84265571的博客
05-09 284
自定 SQL 的安全性是所有 ORM 最难解决的问题,GEN 使用模板注释的方法完美解决了这个问题,只需要将 SQL 注释到 interface 的方法上。SQL 支持简单的 where 查询和完整 SQL 查询,条件用Where()语法包住。Raw SQL 用sql()包住,也可省略直接写。占位符gen.T用于返回数据的结构体,会根据生成结构体或者数据库表结构自动生成gen.M表示,用于返回数据用于执行 SQL 进行更新或删除时候,用于返回影响行数@@table。
移动应用安全开发指南Android)--数据传输
weixin_30772105的博客
01-07 77
概述 移动应用很多时候并非孤立存在,在多数场景下存在前、后台以及第三方服务之间进行数据交互,因此,在网络中传输敏感数据在所难免,如果不使用正确安全传输方式,有可能存在敏感信息泄漏的风险。 ...
android中使用tmf框架插件化开发的问题
honey_angle_first的博客
06-29 1980
android中使用tmf框架插件化开发的问题 最近项目开发使用的是tmf框架,其中大多数都是通过源生和H5交互的方式来实现的,大体实现和别的三方框架是一样的,需要按照tmf的官方文档引入一些lib和依赖,添加一些配置等。 我主要就我们在使用做一简单的总结。 大致是使用是项目中创建一个抽象的父类(TMFBaseJsApi)让其extends JsApi,其中JsApi是tmf框架中的类。在TMFBaseJsApi中重写两个核心的方法,分别是: public abstract class TMFBaseJsA
android 应用安全
carson2440的专栏
12-28 716
Android应用安全开发指南 一 数据存储 概述 移动应用经常需要在某些场景下(比如用户登录)处理和用户或业务相关的敏感数据,有时候为满足某些业务需求,需要把这些敏感数据存储在本地,如果不对这些数据进行适当处理,就有可能存在敏感信息泄漏的风险。 安全准则 A.敏感数据总是优先考虑存储在内部空间。 B.敏感数据无论是存储在内部还是外部空间均应经过加密后再存储,应避免直接明文存储。 C....
手机银行客户端框架之TMF框架介绍
银行信息系统应用架构导论
04-10 1842
腾讯移动开发平台(Tencent Mobile Framework)整合了腾讯在移动产品中开发、测试、发布和运营的技术能力,为企业提供一站式、覆盖全生命周期的移动端技术平台。核心服务包括移动客户端开发组件、H5容器、灰度发布、热更新、离线包、网关服务、消息推送、数据同步、移动分析、移动监控、应用加固、环境安全检测等移动开发运营关键服务,帮助企业低成本、高效率地打造移动服务。
移动应用APP安全开发指南:iOS与Android基线
分析显示,当前移动应用面临的主要风险包括源码保护不足、配置错误、敏感信息明文存储、未加密的数据传输以及开发过程中的高风险业务逻辑漏洞。这反映出开发者对移动安全性的认识不足和规范执行不力。 4. **安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值