移动应用安全开发要求(1,源码安全)

最新推荐文章于 2021-04-02 09:46:06 发布
原创 最新推荐文章于 2021-04-02 09:46:06 发布 · 573 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #ios #小程序 #java

随着移动互联网的发展,智能移动终端广泛应用,但免费开源平台的特性也带来安全隐患。89%的热门应用存在仿冒,98%的Top10应用有漏洞。本文聚焦Android应用开发的安全要求,包括程序保护、基本要求和增强要求,涉及混淆、加密、签名、反调试、资源文件保护、代码安全等方面,旨在对抗恶意行为和保护用户数据安全。

 

 近十年,移动互联网的飞速发展,智能移动终端在人们学习、工作和生活中的普及率越来越高,手机终端的广大用户群体的良好体验正吸引着越来越多的开发及应用者参与到手机应用程序的开发和使用中来,但是部分免费开源的平台特性不仅给予了开发者更广阔的开发空间,也给使用者增加了许多安全隐患,即使有基于自主平台上开发的移动应用,也会遭到黑客攻击,存在一定的安全隐患。

    相关数据显示,89%的热门应用存在仿冒,18个行业的Top10应用中98%的应用都存在漏洞。这些漏洞一旦被利用,将会给开发者和用户带来很大的影响。

图片

    在本文中,我们探讨Android应用程序开发过程中都有哪些安全开发要求。

 

程序保护

    通过混淆、加密、签名、加壳、动态加载等技术为移动应用进行全面的安全加固,对抗代码注入、篡改、反编译、逆向工程等恶意行为,具备反篡改/盗版/二次打包能力。

    基本要求

  • Dex加固,可对编译后的Dex进行加壳、类加载、类抽取、函数Native转换、指令VMP选择加固处理。

  • SO加固,可对导出函数加密,对SO文件中的字符串进行混淆或加密,对编译后的SO文件中代码段加密。

  • 反调试,防止进程/线程附加,如果检测到被保护APK被附加则程序退出;抵抗进程注入,如果检测到被保护APK的内存空间非法访问则程序退出;对市面上常用的调试器进行检测,如果检测到调试器启

最低0.47元/天 解锁文章
移动应用安全开发要求(3,访问控制)
s_include的专栏
04-02 591
通常,移动应用的生命周期包括可行性分析与项目开发计划、需求分析、设计、编码、测试、维护等活动,这种按时间分配不同任务的思想方法是软件工程中的一种重要思想原则,即按部就班、逐步推进,每个阶段都要有各自的定义、工作、审查、形成文档以便工作交流或备查,进而达到提高软件质量的目的。 目前,按照应用开发生命周期的思想进行软件设计和开发的理念已经得到广大软件设计和开发人员的广泛认同,但是在应用开发生命周期中对安全性的考虑则往往被忽略,进而产生了很多的软件产品漏洞,给使用应用的人们带来很多工作生活上的不便,甚至造成巨大
360壳分析,手把手教你操作
YJJYXM的博客
01-16 3753
安卓逆向交流学习群:692903341 先直接看这个so库: 拖入IDA静态看一下:发现看不到什么信息,原因很简单,因为被处理了; 怎么办呢?通过010进行对so简单修改: 拖入IDA,使用ELF.b进行识别: 识别效果: 头里面描述了有关节的信息: 先修改节的偏移: 这个三个: 保存之后,然后继续拖入IDA:发现没报异常,可以识别一些东西: 为什么这样就能成功呢?因为我们把节有关的...
移动应用APP安全开发要求、安全检测标准-android
03-19
本文根据owasp出具的2016移动应用top10的checklist翻译而来,适用于所有android应用
移动应用安全开发-转载
FredaMJ的博客
06-05 281
https://blog.csdn.net/alice_tl/article/details/80216623 https://www.cnblogs.com/fishou/p/4222263.html
Android应用安全开发源码安全
01-22 163
Android应用安全开发源码安全 gh0stbo·2016/01/21 10:24 0x00 简介 Android apk很容易通过逆向工程进行反编译,从而是其代码完全暴露给攻击者,使apk面临破解,软件逻辑修改,插入恶意代码,替换广告商ID等风险。我们可以采用以下方法对apk进行保护. 0x01 混淆保护 混淆是一种用来隐藏程序意图的技术,可以增代码阅...
移动应用开发实验库项目完整源码.zip
04-07
移动应用开发实验库项目完整源码.zip移动应用开发实验库项目完整源码.zip移动应用开发实验库项目完整源码.zip移动应用开发实验库项目完整源码.zip移动应用开发实验库项目完整源码.zip移动应用开发实验库项目完整源码...
精选资源
移动应用开发实验库源码.zip
04-07
移动应用开发实验库源码.zip移动应用开发实验库源码.zip移动应用开发实验库源码.zip移动应用开发实验库源码.zip移动应用开发实验库源码.zip移动应用开发实验库源码.zip移动应用开发实验库源码.zip移动应用开发实验库...
精选资源
移动应用开发期末作业鸿蒙开发-校园迎新APP项目源码+报告(期末大作业)
最新发布
03-21
移动应用开发期末作业鸿蒙开发-校园迎新APP项目源码+报告(期末大作业)移动应用开发期末作业鸿蒙开发-校园迎新APP项目源码+报告(期末大作业)移动应用开发期末作业鸿蒙开发-校园迎新APP项目源码+报告(期末大作业...
精选资源
移动应用开发》小组项目--网易云音乐播放器移动端项目源码.zip
05-29
移动应用开发》小组项目--网易云音乐播放器移动端项目源码移动应用开发》小组项目--网易云音乐播放器移动端项目源码移动应用开发》小组项目--网易云音乐播放器移动端项目源码移动应用开发》小组项目--网易云...
应用系统安全开发技术规范V1.3.pdf
05-31
许多程序员不知道如何开发安全的应用程序, 开发出来的Web应用存在较多 的安全漏洞,这些安全漏洞一旦被黑客利用将导致严重甚至是灾难性的后果。这 并非危言耸听,类似的网上事故举不胜举,公司的Web产品也曾多次遭黑客攻击, 甚至有黑客利用公司Web产品的漏洞敲诈运营商,造成极其恶劣的影响。 本规范为解决Web应用系统安全问题, 对主要的应用安全问题进行分析,并 有针对性的从设计及开发规范、开发管理、安全组件框架、安全测试方面提供整 体的安全解决方案。
web应用安全开发规范
07-09
本规范就是提供一套完善的、系统化的、实用的Web安全开发方法供Web研发人员使用,以期达到提高Web安全的目的。本规范主要包括三大内容:Web设计安全、Web编程安全、Web配置安全,配套CBB,多管齐下,实现Web应用的整体安全性;本规范主要以JSP/Java编程语言为例。
Web应用安全开发规范.doc
04-30
在Internet大众化及Web技术飞速演变的今天,Web安全所面临的挑战日益严峻。黑客攻击技术越来越成熟和大众化,针对Web的攻击和破坏不断增长,Web安全风险达到了前所未有的高度。 许多程序员不知道如何开发安全的应用程序,开发出来的Web应用存在较多的安全漏洞,这些安全漏洞一旦被黑客利用将导致严重甚至是灾难性的后果。这并非危言耸听,类似的网上事故举不胜举,的Web产品也曾多次遭黑客攻击,甚至有黑客利用Web产品的漏洞敲诈运营商,造成极其恶劣的影响。 本规范就是提供一套完善的、系统化的、实用的Web安全开发方法供Web研发人员使用,以期达到提高Web安全的目的。本规范主要包括三大内容:Web设计安全、Web编程安全、Web配置安全,配套CBB,多管齐下,实现Web应用的整体安全性;本规范主要以JSP/Java编程语言为例。
应用系统安全开发规范
02-13
为规范公司线上系统、后台系统等业务系统的安全开发,使开发人员明确在开发过程中需要遵守的安全要求,保证最终开发完成的系统不存在明显的安全漏洞,尽可能地降低系统上线后由于代码层漏洞导致的安全风险,特制定本规范。
安全开发规范手册.docx
08-05
1. 背景 4 2. 编码安全 4 2.1. 输入验证 4 2.1.1. 概述 5 2.1.2. 白名单 5 2.1.3. 黑名单 5 2.1.4. 规范化 5 2.1.5. 净化 5 2.1.6. 合法性校验 6 2.1.7. 防范SQL注入 6 2.1.8. 文件校验 6 2.1.9. 访问控制 6 2.2. 输出验证 6 2.2.1. 概述 6 2.2.2. 编码场景 6 2.2.3. 净化场景 7 2.3. SQL注入 7 2.3.1. 概述 7 2.3.2. 参数化处理 7 2.3.3. 最小化授权 7 2.3.4. 敏感数据密 7 2.3.5. 禁止错误回显 8 2.4. XSS跨站 8 2.4.1. 输入校验 8 2.4.2. 输出编码 8 2.5. XML注入 8 2.5.1. 输入校验 8 2.5.2. 输出编码 8 2.6. CSRF跨站请求伪造 8 2.6.1. Token使用 9 2.6.2. 二次验证 9 2.6.3. Referer验证 9 3. 逻辑安全 9 3.1. 身份验证 9 3.1.1. 概述 9 3.1.2. 提交凭证 9 3.1.3. 错误提示 9 3.1.4. 异常处理 10 3.1.5. 二次验证 10 3.1.6. 多因子验证 10 3.2. 短信验证 10 3.2.1. 验证码生成 10 3.2.2. 验证码限制 10 3.2.3. 安全提示 11 3.2.4. 凭证校验 11 3.3. 图灵测试 11 3.3.1. 验证码生成 11 3.3.2. 验证码使用 11 3.3.3. 验证码校验 11 3.4. 密码管理 12 3.4.1. 密码设置 12 3.4.2. 密码存储 12 3.4.3. 密码修改 12 3.4.4. 密码找回 12 3.4.5. 密码使用 12 3.5. 会话安全 13 3.5.1. 防止会话劫持 13 3.5.2. 会话标识符安全 13 3.5.3. Cookie安全设置 13 3.5.4. 防止CSRF攻击 13 3.5.5. 会话有效期 14 3.5.6. 会话注销 14 3.6. 访问控制 14 3.6.1. 跨权访问 14 3.6.2. 控制方法 14 3.6.3. 控制管理 14 3.6.4. 接口管理 15 3.6.5. 权限变更 15 3.7. 文件上传安全 15 3.7.1. 身份校验 15 3.7.2. 合法性校验 15 3.7.3. 存储环境设置 15 3.7.4. 隐藏文件路径 16 3.7.5. 文件访问设置 16 3.8. 接口安全 16 3.8.1. 网络限制 16 3.8.2. 身份认证 16 3.8.3. 完整性校验 16 3.8.4. 合法性校验 16 3.8.5. 可用性要求 17 3.8.6. 异常处理 17 4. 数据安全 17 4.1. 敏感信息 17 4.1.1. 敏感信息传输 17 4.1.2. 客户端保存 17 4.1.3. 服务端保存 17 4.1.4. 敏感信息维护 18 4.1.5. 敏感信息展示 18 4.2. 日志规范 18 4.2.1. 记录原则 18 4.2.2. 事件类型 18 4.2.3. 事件要求 18 4.2.4. 日志保护 19 4.3. 异常处理 19 4.3.1. 容错机制 19 4.3.2. 自定义错误信息 19 4.3.3. 隐藏用户信息 19 4.3.4. 隐藏系统信息 19 4.3.5. 异常状态恢复 20 4.3.6. 通信安全 20
移动应用安全开发要求(2,密码安全
s_include的专栏
04-02 508
通常,移动应用的生命周期包括可行性分析与项目开发计划、需求分析、设计、编码、测试、维护等活动,这种按时间分配不同任务的思想方法是软件工程中的一种重要思想原则,即按部就班、逐步推进,每个阶段都要有各自的定义、工作、审查、形成文档以便工作交流或备查,进而达到提高软件质量的目的。 目前,按照应用开发生命周期的思想进行软件设计和开发的理念已经得到广大软件设计和开发人员的广泛认同,但是在应用开发生命周期中对安全性的考虑则往往被忽略,进而产生了很多的软件产品漏洞,给使用应用的人们带来很多工作生活上的不便,甚至造成巨大
安全开发IOS安全编码规范
11-30 1423
申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-7-IOS%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%...
移动应用安全开发指南(Android)--完结篇
weixin_30340617的博客
01-13 290
如果IE显示格式不正常,请使用chrome浏览器 1、认证和授权 概述 认证是用来证明用户身份合法性的过程,授权是用来证明用户可以合法地做哪些事的过程,这两个过程一般是在服务器端执行的,但也有的APP出于性能提升或用户体验等原因,将其...
如何移动应用开发安全
weixin_30376453的博客
07-30 153
许多企业不断地向其开发团队提供培训。但是某些漏洞,如早在十多年前就发现的SQL注入,如今仍广泛存在于各种应用中。因而,安全培训永不过时。   在开发移动应用时,开发者必须自始至终实施一套健全的安全原则,确保移动应用项目开发安全,理解操作系统和API(应用编程接口)之间的不同点是非常重要的。   拥有应用安全项目的多数企业都有大量的最佳方法和编程标准等,但所有这些大多都是针对Web...
AndroidStudio安卓应用开发完整项目源码解析
2. 安卓应用开发: 安卓应用开发是指使用Android Studio或其他开发工具,根据Android操作系统的特点和开发规范,开发出满足用户需求的移动应用。安卓应用开发需要熟悉Java或Kotlin编程语言,了解Android SDK,掌握...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值