Android开发的安全性(面试)

最新推荐文章于 2023-06-14 10:09:04 发布
最新推荐文章于 2023-06-14 10:09:04 发布
阅读量973 收藏 1
点赞数
分类专栏: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40929353/article/details/90643715
版权

       只要项目经历中有涉及安全性的应用或者面试的公司项目中比较重视安全性的话基本都会被问及安全方面的问题,那么下面就这些问题做个记录。
      1、软键盘输入安全:自定义软键盘,随机按键,并且对输出作加密处理。
      2、防界面劫持:有敏感信息录入的界面,有可能会出现被钓鱼,出现一模一样的界面覆盖于咱们的应用之上,导致用户误输入敏感信息,出现安全问题,那么我们要做的就是在应用退出前台时给用户提示,防止用户再输入敏感信息。
      3、本地数据安全:对存储于本地的数据作加密之后再存储,对于特别数据采取分段存储等措施,比如密钥可分段存储或存储于so等。
      4、通信安全:数据加密、证书验证(证书锁定(判断服务器证书公钥与本地证书公钥是否一致)
    +域名验证())等
      5、重点逻辑代码安全:方案一实现代码混淆处理,方案二将逻辑代码由Java层转到jni层实现。
      6、apk包安全:版本更新时校验apk文件的唯一性和完整性;检验apk的签名指纹,防止被篡改被二次打包;apk混淆加固。
按这上面几个方面回答就基本OK啦,一些参考文章https://juejin.im/post/5bea6d0c6fb9a049ba411c48

JK潘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android Sdk开发安全措施总结
在路上-codingAndlearning
05-28 5845
Android 接入sdk是指某公司作为能力提供方经常以接入Sdk形式来暴露能力供用户使用,这样的能力对公司来说是财富实现的资本,不能被外界窥探或者破解成免费使用,那下面来分析下有哪些危害以及解决方案。 裸sdk的危害 裸Sdk是指sdk未进行加固,直接简单的通过反编译工具就可以看到其实现,现在混淆不算加固,但很多sdk就仅限于混淆而已,就没有其他安全措施了,这样就很容易暴露如下问题:
联想Android开发工程师面试题.zip
11-04
总的来说,“联想Android开发工程师面试题”涵盖了Android开发的各个方面,包括但不限于系统组件、UI设计、性能优化、网络编程、数据存储、安全性和项目管理。对于准备面试或提升自身技能的开发者来说,这些内容的...
安卓开发安全问题
01234567890
10-31 794
1. 组件暴露——Activity,Service,BroadcastReceiver说明: 当应用程序的组件被导出后,导出的组件可以被第三方app任意调用,从而导致敏感信息泄露,而且恶意攻击者也可以通过精心构造数据来达到攻击目标应用的的目的。 修复:如果组件不需要与其他应用共享数据或进行交互,则在AndroidManifest.xml文件中设置该组件为 exported = “false”
android面试(5)-WebView安全漏洞
pgg_cold的博客
02-27 682
WebView是android提供的一个非常强大的控件,具体的怎样去使用网上有很多教程,在这里就不多讲,我今天只讲讲使用WebView要注意的一些问题;1.常见的一些坑:(1)Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确闲置使用WebView.addJavascriptInterface()方法,远程攻击者可通过使用反射机制利用该漏洞执行任...
Android 开发中安全问题
liuzhenlee的博客
03-14 510
1.组件暴露 android四大组件Activity,Service,BroadcastReceiver,ContentProvider都有一个属性exported,它的作用是告诉其他应用可不可以调用我们的组件. 默认值:如果包含有intent-filter 默认值为true; 没有intent-filter默认值为false。 所以如果不希望组件被其他App调用,需要将exported设置为false; 看了一下我们用的三方sdk如华为支付,广点通广告,都是设置的false.如: ...
Android面试收集录 网络与加密
SFC0511的博客
03-12 191
1.创建Socket对象需要至少指定哪些信息? IP(或域名)和端口号 Socket socket=new Socket("www.baidu.com",80); 2.如何使用Socket连接服务器? 建立一个Socket对象:Socket socket=new Socket("192.168.17.100",8080); OutputStream os...
Android精品资源】联想Android开发工程师面试
03-28
除此之外,Android开发还包括性能优化、内存管理、线程与并发、安全性和测试等方面。面试中可能会有针对这些主题的实战问题,例如,如何减少内存泄漏、提高应用启动速度、处理多线程同步等。 资源包中的"联想...
联想Android开发工程师面试题.rar
09-09
【标题】: "联想Android开发工程师面试题" 涵盖了Android开发领域的核心知识点,是针对联想公司Android开发工程师职位面试所准备的一系列问题集合。这类面试通常旨在测试候选人在Android应用程序设计、性能优化、...
android面试题.zip
最新发布
04-24
Android面试过程中,面试官通常会考察候选人在多个方面的技能和知识,包括但不限于基础知识、UI设计、性能优化、网络通信、多线程、数据库管理、安全性以及最新的Android框架和技术。以下是一些可能被问到的关键...
一次去平安的android面试
weixin_34150224的博客
03-10 1035
我四年经验,此次去面试打击很大,不知道面试深度这么大,决定面壁思过 正文 跑来跑去终于到了面试地点,见到了面试官,开始面试,此文主要是反思 A:面试官 B:我 A:你工作内容包含前端和android,你是想做安卓还是前端 B:我主要做的还是安卓 A:好,那我就问问android了...迂回后第一个重磅,你对插件化的了解 B:我就简单说了下插件化面对的问题,对于解决四大组建生命周期的回调和资源文...
某课XXX面试之谈解密Android
01-04
某课XXX面试之谈解密Android下载地址
安恒信息C安全开发实习面试
qq_42120843的博客
03-20 494
安恒信息C实习面试
Android SDK 开发】谈谈Sdk迭代开发设计需要考虑的方面
dodod2012的专栏
04-01 1407
原文地址:https://mp.weixin.qq.com/s/mXFBaoRHGnzb3DIlCeeEzA 作者:Trilen 链接: http://blog.csdn.net/u010019468/article/details/75425742 本文由作者投稿推送。 Sdk开发设计与Apk开发不同的地方还是有些明显的不同之处,明显的区别是使用对象不一样,Sdk是基于开发者使用...
安全公司-* * * *-面试题:_ 安卓逆向分析分享
leibso的博客
11-12 2087
1 总览: a) 查看清单文件AndroidManifest注册的各种信息(入口类、权限、广播、服务等) l 发现只有入口类信息: Ø com.test.pac.demo.MainActivity b) 安装程序查看大致行为 l 输入UserName(长度为16) l PassWord 可以输入,也可以点击Generate 生成 l 点击Check按钮验证PassW...
linux安全开发工程师面试题,linux开发工程师面试题含答案
weixin_31437695的博客
05-16 360
很多linux开发工程师在面试之前都会紧张,不知道会有怎样的面试题在等待他们。下面列举个人在面试linux开发工程师的时候,遇到的面试题。以及附带答案。1、关于Spring MVC的核心控制器DispatcherServlet的作用,以下说法错误的是( )?A.它负责接收HTTP请求B.加载配置文件C.实现业务操作D.初始化上下应用对象ApplicationContext2、设顺序循环队列Q[0:...
【安全面试】安全面试总结2
SunJ3t的菠萝屋
07-31 411
记录下我这次面试过程中不会的内容,有待之后学习,有些还没有总结完 1. self-xss Self-XSS(自跨站脚本攻击)是一种由受害者自己输入XSS payload触发才能成功的XSS攻击行为,这种攻击可基于DOM,或是建立在仅该用户可操作或可见的域。 比较鸡肋,经常和CSRF一起使用效果不错 这里有一个关于self-xss结合csrf的实例 鸡肋CSRF和Self-XSS组合的...
移动安全面试题—APP 安全开发
Andy0214的专栏
06-14 5714
安全开发: 遵循安全编码规范,及时修复已知漏洞,避免使用不安全的接口或组件。加固应用: 采用代码混淆、资源加密、JNI/NDK 等技术,提高破解难度。完整性检测: 对应用签名、哈希值等进行验证,确保应用未被篡改。环境检测: 检测运行环境,如模拟器、root 状态等,以降低攻击者的调试能力。反调试技术: 通过各种手段阻止或干扰攻击者对应用进行调试。安全通信: 使用 HTTPS、TLS 等安全协议进行网络通信,保护数据传输的安全。
Android面试整理(4)-网络和安全机制
wjh8914320的博客
08-13 708
网络和安全机制1、网络框架对比和源码分析VolleyOkHttpRetrofit2、自己去设计网络请求框架,怎么做?3、网络请求缓存处理,okhttp 如何处理网络缓存的4、从网络加载一个 10M 的图片,说下注意事项5、TCP 的 3 次握手和四次挥手 1、网络框架对比和源码分析 Volley 特点: 基于 HttpURLConnection 封装 Url 图片加载框架,支持图片加载 有缓存 Activity 和生命周期的联动,Activity 结束时取消在此 Activity 中调用的所有网络请求 场
Java面试题精选七(Web安全开发实战)
wangwei775257173的博客
01-18 234
一、常规漏洞 1、SQL注入 SQL注入就是攻击者通过把SQL命令插入到Web表单后提交到服务器,最终达到让后台数据库执行恶意SQL命令的目的,从而获取程序返回的结果获得某些攻击者想得知的数据。 常规的注入方式: (1)参数修改 直接将SQL语句中的参数进行修改 (2)宽字节注入(网站使用GBK编码的时候) 一般数据库设置的格式为GBK(set character_set_client=GBK)的时候会出现这样的漏洞,因为字符编码的问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值