阿里聚安全

1/3ページ

淺談Android應用保護(一):Android應用逆向的基本方法

對於未進行保護的Android應用,有很多方法和思路對其進行逆向分析和攻擊。使用一些基本的方法,就可以打破對應用安全非常重要的機密性和完整性,實現獲取其內部程式碼、資料,修改其程式碼邏輯和機制等操作。這篇文章主要介紹一些基本的應用逆向和分析方法,演示Android應用的程式碼機密性和完整性是如何被破 […]

Android應用安全開發之淺談網頁開啟APP

一、網頁開啟APP簡介 Android有一個特性,可以通過點選網頁內的某個連結開啟APP,或者在其他APP中通過點選某個連結開啟另外一個APP(AppLink),一些使用者量比較大的APP,已經通過釋出其AppLink SDK,開發者需要申請相應的資格,配置相關內容才能使用。這些都是通過使用者自定義 […]

系列文|編譯可在Android上執行的依賴庫:glib庫

前言 這是系列文章,它們由《編譯可在Android上執行的glib庫》及其他4篇文章組成,這4篇文章在“編譯依賴庫”一節中列出。由於glib庫依賴於其他第三方庫,所以需要先將依賴的第三方庫交叉編譯到Android平臺上才能成功的編譯glib庫,系列文章中除《編譯可在Android上執行的glib庫》 […]

Android安全開發之淺談金鑰硬編碼

1 簡介 在阿里聚安全的漏洞掃描器中和人工APP安全審計中,經常發現有開發者將金鑰硬編碼在Java程式碼、檔案中,這樣做會引起很大風險。資訊保安的基礎在於密碼學,而常用的密碼學演算法都是公開的,加密內容的保密依靠的是金鑰的保密,金鑰如果洩露,對於對稱密碼演算法,根據用到的金鑰演算法和加密後的密文,很 […]

安卓動態除錯七種武器之離別鉤 – Hooking(上)

0x00 序 隨著移動安全越來越火,各種除錯工具也都層出不窮,但因為環境和需求的不同,並沒有工具是萬能的。另外工具是死的,人是活的,如果能搞懂工具的原理再結合上自身的經驗,你也可以創造出屬於自己的除錯武器。因此,筆者將會在這一系列文章中分享一些自己經常用或原創的除錯工具以及手段,希望能對國內移動安全 […]

安卓動態除錯七種武器之離別鉤 – Hooking(下)

0x00 序 隨著移動安全越來越火,各種除錯工具也都層出不窮,但因為環境和需求的不同,並沒有工具是萬能的。另外工具是死的,人是活的,如果能搞懂工具的原理再結合上自身的經驗,你也可以創造出屬於自己的除錯武器。因此,筆者將會在這一系列文章中分享一些自己經常用或原創的除錯工具以及手段,希望能對國內移動安全 […]

Android 安全開發之 ZIP 檔案目錄遍歷

1、ZIP檔案目錄遍歷簡介 因為ZIP壓縮包檔案中允許存在“../”的字串,攻擊者可以利用多個“../”在解壓時改變ZIP包中某個檔案的存放位置,覆蓋掉應用原有的檔案。如果被覆蓋掉的檔案是動態連結so、dex或者odex檔案,輕則產生本地拒絕服務漏洞,影響應用的可用性,重則可能造成任意程式碼執行漏洞 […]