Android安全开发之安全使用HTTPS
Android安全开发之安全使用HTTPS 1、HTTPS简介 阿里聚安全的应用漏洞扫描器中有证书弱校验、主机名弱校验、webview未校验证书的检测项,这些检测项是针对APP采用HTTPS通信时容易出现风险的地方而设。接下来介绍一下安全使用HTTPS的相关内容。 1.1 为何需 ...
原文:Android安全开发之通用签名风险
Android安全开发之通用签名风险 作者:伊樵 舟海 呆狐 阿里聚安全 通用签名风险简介 . Android应用签名机制 阿里聚安全漏洞扫描器有一项检测服务是检测APP的通用签名风险。Android系统要求安装的应用必须用数字证书进行签名后才能安装,并且签名证书的私钥由应用开发者保存。签名证书的生成也由开发者自己生成。在应用安装时会校验包名 package name 和签名,如果系统中已经存在 ...
2016-08-08 15:41 2 1495 推荐指数:
相关推荐
【安全开发】Android安全编码规范
/2018-08-17-SDL-6-Android%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E ...
安全开发checklist
安全设计与开发checklist 检查类型 检查项(checklist) 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等) 格式化字符串时,依然 ...
安全开发规范
安全编码的基本准则 不要相信用户的任何输入数据,因为所有数据都是可以伪造的。用户数据包括HTTP请求中的一切,例如:QueryString, Form, Header, Cookie, File 服务端在处理请求前,必须先验证数据是否合法,以及用户是否具有相关的操作权限 ...
Android安全开发之ZIP文件目录遍历
漏洞,危害用户的设备安全和信息安全。比如近段时间发现的“寄生兽”漏洞、海豚浏览器远程命令执行漏洞、三星 ...
Android应用安全开发之浅谈网页打开APP
一、网页打开APP简介 Android有一个特性,可以通过点击网页内的某个链接打开APP,或者在其他APP中通过点击某个链接打开另外一个APP(AppLink),一些用户量比较大的APP,已经通过发布其AppLink SDK,开发者需要申请相应的资格,配置相关内容才能使用。这些都是通过用户自定 ...
Android软件安全开发实践(下)
我们讨论了数据存储、网络通信、密码和认证策略等安全问题和解决方案,本期将继续从组件间通信、数据验证和保全保护等方面来实践Android软件安全开发之路。 组件间通信 组件间通信的安全问题是Android所独有的,也是目前软件中最常出现的一种问题。 我们先回顾一下组件间通信机制。Android ...
Android安全开发之浅谈密钥硬编码
Android安全开发之浅谈密钥硬编码 作者:伊樵、呆狐@阿里聚安全 1 简介 在阿里聚安全的漏洞扫描器中和人工APP安全审计中,经常发现有开发者将密钥硬编码在Java代码、文件中,这样做会引起很大风险。信息安全的基础在于密码学,而常用的密码学算法都是公开的,加密内容的保密依靠的是密钥 ...