否命题的博客

Android技术防范与揭秘总结APK静态分析静态分析指，在不允许代码的情况下，通过词法分析，语法分析，控制流，数据流分析等技术对程序代码进行扫描，验证代码是否满足规范性，安全性可靠性，可维护行等指标的一种代码分析技术。常用的分析利器查看源码工具dex2jar jd-gui dex2jar 将apk中的class.dex 转化为jar文件，而jd-gui是一个反编译工具，可以直接查看jar包中的源

Android技术防范与揭秘第九章和第十章总结防止利用系统组件的漏洞最小化组件暴露：在调用的组件添加，android：exported=“false”属性，说明他是私有的，只有同一个应用程序的组件或者带有相同用户的ID的应用程序才能启动或者绑定该服务。如果 只是内部调用，还可以给组件加入签名权限以防止不同签名的应用恶意调用设置组件的访问权限：对于跨应用间调用的组件或者是公开的Brocast Re

开机自启动//在广播中声明 String action = intent.getAction(); if (action.equals("android.intent.action.BOOT_COMPLETED")) { Intent activity = new Intent(context, SecondActivity.class);

一下案例均来自白帽子讲Web安全-吴翰清 一书中这篇主要是记录下一些内容中的简单概念，其中书中涉及很多实例代码，这边不具体叙述。客户端脚本安全XSS攻击XSS：跨站脚本攻击，英文全称为Cross Sie Script 本来缩写是CSS，但是为了和层叠样式CSS做区分，所以在安全领域叫做XSS XSS攻击，通常指用户通过HTML注入篡改了网页，插入恶意的脚本，从而在用户浏览网页的时候，控制用户浏览器

SQL注入盲注Web服务器关闭了错误回显，对于攻击者就缺少了重要的调试信息，所以攻击者知道一个方法来验证SQL语句是否执行 比如http://xxxx.com/items.php?id=2构造http://xxxx.com/items.php?id=2 and 1=2如果页面是空的，或者出差，可以猜测这可能存在注入的机会再次修改http://xxxx.com/items.php?id=2