安装包签名检测

已于 2022-04-21 16:56:33 修改
阅读量1.2k 收藏 3
点赞数 1
分类专栏: App安全测试 文章标签: android 安全
于 2022-04-20 15:12:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44097449/article/details/124290130
版权

安装包签名

安装包签名

  • apk是安卓应用软件包,apk签名是软件包在安装的时候进行的安全性验证机制。
  • 这种签名机制目的是为了确保Apk来源的真实性,以及Apk没有被第三方篡改。开发者通过对Apk进行签名:在Apk中写入一个“指纹”。指纹写入以后,Apk中有任何修改,都会导致这个指纹无效,Android系统在安装Apk进行签名校验时就会不通过,从而保证了安全性。摘录百度百科

签名规范

  • 客户端使用APP从属方证书进行签名后进行发布,Android应用程序想要安装运行,必须经过签名,所以开发者在发布安装包时,必须对安装包进行签名。签名信息中包含的组织信息,将便于用户识别安装包的真伪。存在:未签名或签名无效,缺少V2签名,使用Debug证书、使用个人证书/开发方证书签名,存在未受签名保护的文件,均认为风险。

检测方法

  • 使用apksigner.bat工具检测
  • apksigner.batandroid-sdk里的一个工具,需要下载Android SDK Tools——启动SDK Manager——安装Android SDKBuild-tools
  • 启动路径:android-sdk-windows\build-tools\版本号\apksigner.bat
  • 命令: apksigner.bat verify -v --print-certs test.apk
    在这里插入图片描述

风险分析

  • 常见的存在风险情况如下:
  • 未签名或签名无效:查看输出是否出现Does not verify或者无签名信息。
  • 缺少V2签名:查看Verified using v2为false。
  • 使用debug证书签名:Signer #1 certificate DN:字段中含有debug。
  • 使用个人证书/开发方证书签名:Signer #1 certificate DN: CN=****为个人或开发商
  • 存在为受签名保护的文件:显示WARNING: META-INF字段

补充:数字证书中主题(Subject)中字段的含义

  • 一般的数字证书产品的主题通常含有如下字段:
    公用名称 (Common Name) 简称:CN 字段,对于 SSL 证书,一般为网站域名或IP地址;而对于代码签名证书则为申请单位名称;而对于客户端证书则为证书申请者的姓名;
    单位名称 (Organization Name) :简称:O 字段,对于 SSL 证书,一般为网站域名;而对于代码签名证书则为申请单位名称;而对于客户端单位证书则为证书申请者所在单位名称;
  • 证书申请单位所在地:
    所在城市 (Locality) 简称:L 字段
    所在省份 (State/Provice) 简称:S 字段
    所在国家 (Country) 简称:C 字段,只能是国家字母缩写,如中国:CN
  • 其他一些字段:
    电子邮件 (Email) 简称:E 字段
    多个姓名字段 简称:G 字段
    介绍:Description 字段
    电话号码:Phone 字段,格式要求 + 国家区号 城市区号 电话号码,如: +86 520 1314521
    地址:STREET 字段
    邮政编码:PostalCode 字段
    显示其他内容 简称:OU 字段
Mi.席
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
普中51仿真器PZ51Tracker驱动
08-14
51仿真器驱动安装时进度卡在10%检测不到PZ51Tracker解决驱动
Flutter给APK签名—两种方式(android 安装包
麦小洛
07-25 7083
给未签名的apk签名,可以先检查下apk有没有签名。方式一:手动签名,二、配置自动签名
安装包UI美化之路-打包过程中自动给安装包签名(防误报)
TragicGuy的专栏
12-11 609
我们的方案是每次打包时,都是同步生成最新的卸载程序,把卸载程序的生成、签名、打包进主安装包中的流程统一起来,统一控制,一次性从0生成最终的安装包
数字证书中主题(Subject)中字段的含义
09-27 1万+
数字证书中主题(Subject)中字段的含义 一般的数字证书产品的主题通常含有如下字段: 公用名称 (Common Name) 简称:CN 字段,对于 SSL 证书,一般为网站域名或IP地址;而对于代码签名证书则为申请单位名称;而对于客户端证书则为证书申请者的姓名;  单位名称 (Organization Name) :简称:O 字段,对于 SSL 证书,一般为网站域名;
x509证书中的Issuer和Subject
liudong200618的博客
05-11 2067
颁发者字段标识已签署和颁发证书的实体。 颁发者字段必须包含一个非空的可分辨名称 (DN)。 颁发者字段定义为 X.501 类型名称 [X.501]。 名称由以下 ASN.1 结构定义: Name 描述了一个由属性组成的分层名称,例如国家名称,以及相应的值,例如 US。 组件AttributeValue的类型由AttributeType决定; 通常它将是一个 DirectoryString。 DirectoryString 类型被定义为 PrintableString、TeletexString、BMPStr
使用cfssl为程序添加https证书
liuyij3430448的博客
04-02 1069
相关配置文件在 /config/demo1 下实例1:创建一个自定义的CA机构根证书,使用这个根证书实现对其他证书的颁发,让浏览器能够信息此证书例如自定义的CA机构名称为LYJCA , 要签发一个网址为 api.liuyijiang.com DV证书CA根证书就是一个自签名证书 可以使用./cfssl gencert -initca xx.json 命令创建在此之前先创建一个证书签名请求文件csr配置json可以使用先创建一个证书签名请求文件内容模板。
AndroidAndroid安装包验证签名(apk)
青禾tester
05-06 9546
1、去掉apk包的签名 //tips:未签名的包不能安装到手机上 (1)apk包改成zip格式,并解压zip包 (2)解压后进入文件夹META-INF,删除签名文件:.RSA/.SF (3)重新压回zip包(如包含之前的apk文件,需要删除改apk),改成apk格式 (4)命令行输入: jarsigner -certs -verbose -verify 新apk路径 返回: jar 未签名。 ...
数字证书简介
热门推荐
ThinkStu的博客
08-15 8万+
数字证书,一种集合了多种加密方式的安全标准,数字证书通常由受到人们广泛信赖的组织向第三方颁发,表明这个第三方也是一个值得信赖的对象。
DirectX_Repair-v3.5
10-31
DirectX修复工具(DirectX repair)是系统DirectX组件修复工具,主要用来检测当前系统的DirectX状态,如果发现异常则进行修复。本程序中包含了最新版的DirectX redist(Jun2010),并且全部文件都有Microsoft的数字签名...
安装.Net Framework 4.7.2时,提示『无法建立到信任根颁发机构的证书链』
07-07
使用独立安装包安装.Net Framework 4.7.2时,提示『无法建立到信任根颁发机构的证书链』离线安装包 1.开始→运行→MMC 2.文件→添加删除管理单元 (Ctrl+M) 3.证书→计算机账户(其他的都保持默认,无限下一步) 4....
Android 应用的安装过程详解
01-04
signing-签名,系统在确认应用被覆盖之前,除了检测包名是否一致,还会检测签名是否相同。所以签名是一个公司的机密,起到版权保护的作用。 我们部署一个项目,不是把项目安装到手机上,而是先把apk安装包上传拷贝到...
deepin-elf-verify_0.0.14.5-1_arm64.deb
12-15
签名下载ELF检测
证书各部分的含义
学海无涯--Java学习笔记
12-29 1082
  Version 证书版本号,不同版本的证书格式不同   Serial Number 序列号,同一身份验证机构签发的证书序列号唯一   Algorithm Identifier 签名算法,包括必要的参数 Issuer 身份验证机构的标识信息   Period of Validity 有效期   Subject 证书持有人的标识信息   Subject’s Public K...
【2.学习__签名证书和加密证书】
jy0921
08-24 4522
实习期学习一些签名和加密的知识: ------------------------暂时先这样,有时间了再整理。学习的方法: 先学习证书文件内容、结构,再针对问题进行学习 证书相关的知识: 1. 证书的结构大致是什么样的? 证书的机构分为三部分: tbsCertificate: 包含 主题 和 发行者的名字,与主题联系起来的公开密钥,有效期和其他相关信息 signatu...
openssl定义国产数字证书主题项
u011893782的博客
06-02 3166
根据国密标准《GM/T 0015基于SM2密码算法的数字证书格式规范》规定了我国国密数字证书的格式规范。 对比国际标准,国内的标准定义了新算法sm2、sm3、sm4,也定义新的对象标识符OID。 本文要介绍主题项的含义,对象标识符的使用,和基于开源openssl的国密改造。 证书主题项 常见的证书主题项subject是一串文字,例如CN=李四,OU=网络安全部,O=sic,L=北京市,S=北京市,C=CN,主题subject唯一确定一个对象。 右图结构是一个目录结构,C代表国家,下一级是S代..
ssl证书 友好名称_什么是SSL证书CN(通用名称)和用法?
cunjiu9486的博客
10-06 9336
ssl证书 友好名称Common Name or CN is generally used in SSL Certificates. CN is used to define the server name which will be used for secure SSL connection. Generally this SSL certificate used to secure conn...
(1)证书简介
mayi_xiaochaun的博客
05-29 1886
证书可以理解为签发方信息、拥有者信息、公钥以及签名(由签发方私钥签名)的集合(当然还有额外信息)。校验证书是否可信,实际就是检验该证书是否是由合法的签发方签发,验证的方法就是首先通过签发方信息找到对应的签发方证书,利用签发方证书中的公钥去校验签名是否正确。 从上述验证方法可以看出,实际上证书是否可信是由其签发方的证书来进行校验的,而签发方的证书的可信是由上一层签发方的证书来校验的,如此就形成一条证书链,而最顶层的就是常说的根证书。此外有也许会问如果浏览器中找不到签发方证书怎么办?而且签发方确...
CN-OU-O-L-S-C意义解释
lianjunzongsiling的博客
06-03 7851
CN=commonName OU=organizationUnit O=organizationName L=localityName S=stateName C=country 从上到下依次是: 通用名 组织部门名 组织名 地址 州名 城市名
安卓部署ffmpeg全平台so并实现命令行调用
最新发布
codeofcc的博客
05-17 1072
前面的章节实现了ffmpeg全平台so的生成,接下来的步骤就是部署以及使用了,部署so还是比较简单的,用gradle和cmake都可以部署,部署好了就可以直接使用了,如果需要c++进行封装一层,则需要链接,对cmake熟悉的话链接也是比较简单的。以上就是今天讲述的内容,ffmpeg的so部署还是比较容易的,但是命令行的调用会麻烦一些,尤其是要解决ffmpeg退出问题,在c++中比较好解决,java理论上也比较好实现,如果在dart中则会比较麻烦,因为dart的方法通常不能跨线程调用,多线程的情况会出问题。
innosetup怎么给安装包创建数字签名
06-09
要给 Inno Setup 安装包创建数字签名,可以按照以下步骤进行操作: 1. 获取数字证书:首先需要获得数字证书,可以从一些权威的数字证书颁发机构购买,例如 VeriSign、Thawte、Comodo 等。 2. 安装数字证书:安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值