APP安全(五)-完结使用篇

最新推荐文章于 2022-03-16 11:35:49 发布
最新推荐文章于 2022-03-16 11:35:49 发布
阅读量329 收藏
点赞数
分类专栏: 安全 文章标签: 安全 加解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mrRuby/article/details/105037991
版权

前言

前面已经介绍了一些基本的实现原理,接下来我们需要完善该组件,该组件一共包含三部分:App Library、Key Library、Server Library,项目使用中需要结合这三个Library同时使用。

App Library

主要使用APP端使用,包好了签名校验和数据加解密

Key Library

主要是生成APP和服务端使用的秘钥文件

Server Library

服务端使用,完成数据的加解密

使用步骤

第一步:Key Library 生成秘钥文件

运行中 Main.class的main方法(),需要传入我们APP 签名证书的sha1值以及包名,完成后会在LibKey目录下生成htsSec和htsServer,其中htsSec客户端使用,htsServer服务端使用。参考如下:

public static void main(String[] args){
    String jskSha1 = "D0030147F0841E0DBBD8A861A69AD5CDB8A4C69E";
    String pkgName = "com.hts.security.app";
    KeyUtil.generate(jskSha1,pkgName);
}

第二步:APP集成

  1. 项目中导入 libRealse中的htssecrity-xxx.aar包
  2. 项目的assets 目录导入第一步生成的htsSec文件
  3. 代码中接入:
//Application onCreate()中初始化
@Override
public void onCreate() {
    super.onCreate();
    SecurityUtil.init();
}

//app合适的地方调用加密和解密方法
String ecryptData = SecurityUtil.encrypt(data);
Strign decryptData = SecurityUtil.decrypt(data);

第三步:Server端集成

1,项目中导入 libRealse中的libServer-xxx.jar包
2,打开第一步生成的文件htsServer,获取其中的值,调用HtsSecurityUtit进行初始化,参考如下:

Strign htsServerFileData = "CD0E98545EB6ACAF4CADF31C0EB01CC7";
HtsSecurityUtil.init(htsServerFileData);
//合适的地方调用加解密方法
String enryptData = HtsSecurityUtil.encrypt(data);
String decryptData = HtsSecurityUtil.decrypt(data);

最后:

该加密组件基本功能已经一下,因为是开源的,所以希望使用的时候不要直接使用,这里提供是一种实现方式参考,需要clone后修改相关的秘钥以及加解密实现,这样才能相对安全。

安全是个永恒的话题,我们需要随着技术的升级以及项目的需要进行相应的改善,这样我们的APP所追求的安全级别才会相对提升。

项目github地址

APP爬虫-抓包】巧妙使用工具与技巧绕过安卓APP抓包防护
吴秋霖的博客
01-05 1万+
最新且最全APP抓包汇总!使用各种工具与技巧绕过APP抓包防护!
Telegram bot & Mini-App开发实践---Telegram简单介绍与初始化小程序获取window.Telegram.WebApp对象并解析
最新发布
鄙人kunzhi96,感恩遇见!
10-24 2万+
Telegram是一款由 Pavel Durov 于 2013 年发布的即时通讯工具,最初的目标是为用户提供一个更加注重隐私和安全的聊天平台。与其他通讯软件相比,Telegram 凭借其端到端加密、支持多平台同步以及开源的 API 生态系统,迅速成为全球用户的首选工具之一。Telegram bot 是一种特殊的 Telegram 帐户,由开发者通过 Telegram API 创建,用来与用户自动交互。
App安全
weixin_33691700的博客
01-02 154
  经常做的网络参数加密解密,以及防止数据重放之外,还提到了防范反编译的风险,其实Apple算比较安全的了,反编译过来也就看到.h文件....但把代码混淆还是会比较好些。 一、iOS 中的网络加密   公司的接口一般会两种协议的,一种HTTP,一种HTTPS的,HTTP 只要请求,服务器就会响应,如果我们不对请求和响应做出加密处理,所有信息都是会被检测劫持到的,是很不安全的,客户端加密可以使用我这...
app安全
饭糕的博客
06-06 637
介绍总结一下app安全方面     1.数据的安全         1).app的访问请求数据中,一般是通过httpClient,UrlConnnection来从服务器端获取数据的,这么做在平常看来是没有问题的,         但是,我们可以通过工具去抓取这些传输过程中的信息.这么做的后果是:传输过程中的所有数据全部都暴露在我们面前了.                     解决的
APP安全(转载)
lucksea的博客
05-20 1307
转载自:APP安全 - 千年妖狐 - 博客园 (cnblogs.com) APP安全 MobSF工具python2.7web页面 2.1 反编译保护 2.1.1 问题描述 APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译会造成源代码被恶意者读取,以及APP的逻辑设计, 反编译方法 我们一般想要反编译一个apk,无非就是想获得三样东西:图片资源、XML资源、代码资源 一.图片资源获取 首先准备一个apk,这里是一个.apk后缀的文...
APP安全学习
weixin_45794666的博客
02-22 1338
全局扫描 mobsf 安装要求 Install Git Install Python 3.8-3.9 Install JDK 8+ Install Microsoft Visual C++ Build Tools Install OpenSSL (non-light) Download & Install wkhtmltopdf as per the wiki instructions Add the folder that contains wkhtmltopdf binary to envi.
加密解密工具类 EncryptUtil
ZHANGHUI3239619的专栏
12-07 3681
import java.io.IOException; import java.io.UnsupportedEncodingException; import java.security.MessageDigest; import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.s
安全测试-App反编译实践记录
qq_34381178的博客
03-16 7696
一、什么是Android反编译 我们在手机下载的AndroidApp安装包是Apk文件(AndroidApplicationPackage)。通过Apk文件,我们也可以得到这个应用的代码和资源文件,对应用进行修改。我们如何获取这些文件,这就需要Android反编译技术。计算机逆向工程(Reverseengineering)也称为计算机软件还原工程,是指通过对apk软件的目标程序(比如可执行程序)进行“逆向分析、研究”工作,以推导出apk产品所使用的思路、原理、结构、算法、等要素,某些特定情...
appweb4.3.4-0添加arm配置及源代码
06-17
将详细讲解如何在ARM架构上配置AppWeb以及相关的源代码分析。 **一、ARM架构配置** 1. **环境准备**:首先,确保你的开发环境支持ARM架构,这通常意味着你需要一个交叉编译工具链,如arm-linux-gnueabi-gcc或...
ios APP 安全渗透测试(共46
04-25
翻译自一位外国大牛的系列文章,共46,整理不易,内容详实,只提供给需要的人看。懂,请下载。
加密解密工具类 EncryptUtil
小兵qwer的专栏
02-24 3459
import java.io.IOException;import java.io.UnsupportedEncodingException;import java.security.MessageDigest;import javax.crypto.Cipher;import javax.crypto.spec.IvParameterSpec;import javax.crypto.spec.S
Android app security安全问题总结
zhangcanyan的博客
05-08 6930
数据泄漏 本地文件敏感数据不能明文保存,不能伪加密(Base64,自定义算法等)android:allowbackup=false. 防止 adb backup 导出数据Activity intent 的数据泄漏。比如通过 getRecentTask 然后找到对应的intent 拿到数据。Broadcast Intent,自己应用内使用 LocaBroadcast,避免被别的应用收到,或者
APP的登录认证与安全
Enweitech Software Works
09-11 2万+
一、登录机制 粗略地分析, 登录机制主要分为登录验证、登录保持、登出三个部分。登录验证是指客户端提供用户名和密码,向服务器提出登录请求,服务器判断客户端是否可以登录并向客户端确认。 登录认保持是指客户端登录后, 服务器能够分辨出已登录的客户端,并为其持续提供登录权限的服务器。登出是指客户端主动退出登录状态。容易想到的方案是,客户端登录成功后, 服务器为其分配sessionId, 客户端随后每次请...
App安全二三事
cpongo5
06-04 322
首先插播一条自己的广告——有些朋友可能都知道了,我最近创建了一个知识星球,在这里试了一周,发现私密圈子的效率果然比群要好很多,付费门槛过滤掉了大部分广告和没有意愿学习分享的人,希望在这里能聚集更多的热爱学习热爱分享的朋友,长按下面的二维码来加入《程序员修仙指南》 WechatIMG503.png App安全二三事 客户端防作弊,是一个很重要,但...
代码安全之代码混淆及加固(Android)
sinat_29694701的博客
01-05 5528
代码混淆,应用加固
从苹果IOS14的App Library分类看用户行为与使用需求
GG
09-23 2026
苹果刚刚更新了IOS14 在主屏幕滑到最右边,会弹出一个App liabrary,里面会把同类app归类。 苹果可以设置一段时间不使用App自动卸载,保留图标。 从App liabray里可以看到系统里所有曾安装的App,已卸载的会有一个小符号。 我对自己的手机做了个统计,统计如下:   Total 136 33 68 68 22 46 No. App Library 总共安装的APP数量 全部APP中,Apple自带的APP数量
移动 APP 端与服务器端用户身份认证的安全方案
每天积累一点,一年后你会发现,自己变化很大
05-24 1万+
公司的 mobile app 是外包给其他公司做的,所以现在他们需要我们提供 API 接口进行调试,由于没有 API 开发的经验,所以现在一个比较难把握的问题就是如何实现服务器端与移动 APP 端通信时的用户身份认证问题。 搜集了一些资料,大部分的建议是在服务器端生成一个 token 然后在通信报文的 headers 利用这个 token 来进行验证。 这里有两个问题,首先这样直接生成 tok
APP安全()-Java-AES加解密客户端数据
mrRuby的博客
03-09 470
一、前言 APP安全()-客户端使用c、c++实现AES加解密)介绍了客户单实现对数据的加密。但我们客户端通常是需要和服务端交互,提交数据和获取数据,因此服务端也同样需要根据客户端的加解密原理实现同样的加解密算法。上文章有对AES加解密的介绍,因此我用Java按照相应的规则实现即可。 二、具体实现 java端的实现相对比较简单,使用java api即可满足要求,可参考一下代码 public c...
android app开发的一些安全及漏洞问题
ZyClient的博客
12-03 1465
最近公司的app通过第三方安全检测公司进行了一次安全检测,当然ios,android都有,对于检测出来的漏洞及安全问题,我把android与ios对比了下简直不忍直视,难怪ios上线各种检测,不过话说回来我觉得android系统本来就存在一些漏洞,今天的主题就是关于漏洞及处理方案: 1.漏洞分类 通常漏洞分为三类:低危漏洞,中危漏洞,高危漏洞. 低危漏洞就是对app用户数据及敏感信...
高仙智导APP使用手册-双频WiFi模块选型
文档详细介绍了高仙智导APP的功能和使用方法,适用于Andriod系统手机和平板。这款APP是为服务式机器人提供全面操作支持的工具,涵盖了数据管理、任务执行、机器人设置、操纵杆控制等多个功能模块。以下是对各...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值