摘要:
Android安全-其他安全2-常见漏洞 (1)SQL注入 使用字符串连接方式构造SQL语句就会产生SQL注入。 解决方法:使用参数化查询。 (2)Logcat泄露用户敏感信息。 (3)恶意的广告包插件(可能存在后门、WebView漏洞等) (4)UXSS漏洞: UXSS漏洞可以绕过同源策略访问存储 阅读全文
摘要:
Android安全-其他安全1-组件安全 android应用内部的Activity、Service、Broadcast Receiver等组件是通过Intent通信的,组件间需要通信就需要在Androidmanifest.xml文件中配置,不恰当的组件配置、组件在被调用时未做验证、在调用其他组件时未 阅读全文
摘要:
Android安全-数据安全3-通信安全 1.对敏感数据进行传输时应该采用基于SSL/TLS的HTTPS进行传输。由于移动软件大多只和固定的服务器通信,我们可以采用“证书锁定”(certificate pinning)方式在代码更精确地直接验证服务器是否拥有某张特定的证书。实现“证书锁定”的方法有二 阅读全文
摘要:
Android安全-数据安全2-存储安全 (1)将隐私数据、系统数据加密后放到内部存储中 (2)将软件运行时依赖的数据保存根据需要加密放到内部存储中 (3)将软件安装包或者二进制代码保存在内部存储中 (4)使用MODE_PRIVATE(默认模式)的内部存储方式。 (5)对应用配置文件,较安全的方法是 阅读全文
摘要:
Android安全-数据安全1-代码中的字符串安全 Android 应用程序开发中难免会使用到字符串,如服务器的地址等一些敏感信息,对于这些字符串如果使用硬编码的方式,容易通过静态分析获取,甚至可以使用自动化分析工具批量提取。例如若在 Java 源代码中定义一个字符串如下: 代码: 1. Strin 阅读全文
