移動(dòng)APP安全與SDL安全

移動(dòng)APP安全與SDL感知情報(bào)風(fēng)控

內(nèi)容概覽一、SDL是什么二、安卓應(yīng)用常見安全問題\案例\修復(fù)三、安全開發(fā)建議感知情報(bào)風(fēng)控

SDLSDL核心思想情報(bào)風(fēng)控感知項(xiàng)目原則：讓開發(fā)中犯過的安全錯(cuò)誤不再犯，從源頭解決安全問題。安全場景描敘安全場景細(xì)節(jié)安全風(fēng)險(xiǎn)評級安全事故案例危險(xiǎn)代碼示例安全測試實(shí)施方法安全加固實(shí)施建議安全事故情報(bào)風(fēng)控常見安全問題\案例\修復(fù)情報(bào)風(fēng)控?cái)?shù)據(jù)安全通信盜版、破解信息泄露插件安全問題四大組件相關(guān)默認(rèn)設(shè)置安全通用性防護(hù)方案四大組件相關(guān)情報(bào)風(fēng)控感知Activity越權(quán)釣魚敏感信息泄露拒絕服務(wù)Service權(quán)限提升劫持消息偽造拒絕服務(wù)BroadcastReceiver敏感信息泄露權(quán)限繞過拒絕服務(wù)ContentProvider信息泄露Sql注入目錄遍歷釣魚情報(bào)風(fēng)控感知Sql注入情報(bào)風(fēng)控感知權(quán)限提升情報(bào)風(fēng)控感知消息偽造情報(bào)風(fēng)控感知拒絕服務(wù)情報(bào)風(fēng)控感知數(shù)據(jù)安全通信情報(bào)風(fēng)控感知HTTPS通信安全白名單繞過同源協(xié)議繞過自升級漏洞Socket遠(yuǎn)程連接AndroidWebView安全HTTPS通信安全情報(bào)風(fēng)控感知

許多應(yīng)用會(huì)通過網(wǎng)絡(luò)傳輸一些敏感數(shù)據(jù)，像銀行、電商類應(yīng)用中敏感數(shù)據(jù)的安全傳輸更是尤為重要。

在Android中使用SSL/TLS協(xié)議，通過校驗(yàn)服務(wù)器端證書來實(shí)現(xiàn)安全通信。(這里指單向SSL校驗(yàn)，與之對應(yīng)的是雙向SSL校驗(yàn)，雙向SSL指的是同時(shí)校驗(yàn)客戶端和服務(wù)端證書)。開發(fā)者可以自由實(shí)現(xiàn)SSL通信，然而很多開發(fā)者不能恰當(dāng)?shù)氖褂肧SL協(xié)議，導(dǎo)致用戶的敏感數(shù)據(jù)在傳輸過程中泄露。

在各大漏洞平臺上，有大量存在HTTPS證書不校驗(yàn)漏洞，例如國內(nèi)絕大部分AndroidAPP存在信任所有證書漏洞、亞馬遜最新官方Android版存在一處信任所有證書漏洞、Yahoo雅虎在國內(nèi)訪問遭遇SSL中間人攻擊、攜程旅游網(wǎng)最新Android客戶端https未校驗(yàn)證書導(dǎo)致https通信內(nèi)容完全被捕獲。HTTPS通信安全情報(bào)風(fēng)控感知HTTPS忽略SSL證書校驗(yàn)忽略域名校驗(yàn)證書頒發(fā)機(jī)構(gòu)(CertificationAuthority)被攻擊導(dǎo)致私鑰泄露等HTTPS通信安全情報(bào)風(fēng)控感知HTTPS通信安全HTTPS通信安全情報(bào)風(fēng)控感知白名單繞過情報(bào)風(fēng)控感知1、1\.163.com/2.html

這個(gè)URL使用getHost得到的域名是1\.163.com2、URL任意跳轉(zhuǎn)Socket遠(yuǎn)程連接自升級漏洞情報(bào)風(fēng)控Webview安全問題感知盜版破解信息泄露LogCat輸出敏感信息敏感數(shù)據(jù)明文存儲于Sdcard數(shù)據(jù)庫敏感數(shù)據(jù)明文存儲SharedPreference全局可讀寫敏感信息硬編碼HTTP敏感信息明文傳輸信息泄露插件安全默認(rèn)設(shè)置安全通用性安全解決方案組件通信數(shù)據(jù)不導(dǎo)出防止中間人攻擊外來數(shù)據(jù)檢查、功能身份檢查加密、服務(wù)器端校驗(yàn)加密最小權(quán)限資源資源保護(hù)加殼、反調(diào)試、反