Android安全開發之安全使用HTTPS
Android安全開發之安全使用HTTPS 1、HTTPS簡介 阿里聚安全的應用漏洞掃描器中有證書弱校驗、主機名弱校驗、webview未校驗證書的檢測項,這些檢測項是針對APP采用HTTPS通信時容易出現風險的地方而設。接下來介紹一下安全使用HTTPS的相關內容。 1.1 為何需 ...
原文:Android安全開發之通用簽名風險
Android安全開發之通用簽名風險 作者:伊樵 舟海 呆狐 阿里聚安全 通用簽名風險簡介 . Android應用簽名機制 阿里聚安全漏洞掃描器有一項檢測服務是檢測APP的通用簽名風險。Android系統要求安裝的應用必須用數字證書進行簽名后才能安裝,並且簽名證書的私鑰由應用開發者保存。簽名證書的生成也由開發者自己生成。在應用安裝時會校驗包名 package name 和簽名,如果系統中已經存在 ...
2016-08-08 15:41 2 1495 推薦指數:
相關推薦
【安全開發】Android安全編碼規范
/2018-08-17-SDL-6-Android%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E ...
安全開發checklist
安全設計與開發checklist 檢查類型 檢查項(checklist) 輸入驗證 校驗跨信任邊界傳遞的不可信數據(策略檢查數據合法性,含白名單機制等) 格式化字符串時,依然 ...
安全開發規范
安全編碼的基本准則 不要相信用戶的任何輸入數據,因為所有數據都是可以偽造的。用戶數據包括HTTP請求中的一切,例如:QueryString, Form, Header, Cookie, File 服務端在處理請求前,必須先驗證數據是否合法,以及用戶是否具有相關的操作權限 ...
Android安全開發之ZIP文件目錄遍歷
漏洞,危害用戶的設備安全和信息安全。比如近段時間發現的“寄生獸”漏洞、海豚瀏覽器遠程命令執行漏洞、三星 ...
Android應用安全開發之淺談網頁打開APP
一、網頁打開APP簡介 Android有一個特性,可以通過點擊網頁內的某個鏈接打開APP,或者在其他APP中通過點擊某個鏈接打開另外一個APP(AppLink),一些用戶量比較大的APP,已經通過發布其AppLink SDK,開發者需要申請相應的資格,配置相關內容才能使用。這些都是通過用戶自定 ...
Android軟件安全開發實踐(下)
我們討論了數據存儲、網絡通信、密碼和認證策略等安全問題和解決方案,本期將繼續從組件間通信、數據驗證和保全保護等方面來實踐Android軟件安全開發之路。 組件間通信 組件間通信的安全問題是Android所獨有的,也是目前軟件中最常出現的一種問題。 我們先回顧一下組件間通信機制。Android ...
Android安全開發之淺談密鑰硬編碼
Android安全開發之淺談密鑰硬編碼 作者:伊樵、呆狐@阿里聚安全 1 簡介 在阿里聚安全的漏洞掃描器中和人工APP安全審計中,經常發現有開發者將密鑰硬編碼在Java代碼、文件中,這樣做會引起很大風險。信息安全的基礎在於密碼學,而常用的密碼學算法都是公開的,加密內容的保密依靠的是密鑰 ...