世事轮回
世事轮回
  • 发布:2020-12-07 18:16
  • 更新:2020-12-12 16:12
  • 阅读:803

关于安全性的一些问题

分类:HBuilder

请问如何解决这些问题,是否有大神可以协助我们,我们可以付费
4.1.1.1 【中危】反编译保护测试
 风险描述:
测试客户端的安装程序,判断是否能反编译为源代码,java代码和so文件是否存在代码混淆等保护措施。未作保护的java代码,可以轻易分析其运行逻辑,并针对代码中的缺陷对客户端或服务器端进行攻击。
4.1.1.3 【中危】应用完整性校验测试
 风险描述:
测试客户端程序是否对自身完整性进行校验。攻击者能够通过反编译的方法在客户端程序中植入自己的木马,客户端程序如果没有自校验机制的话,攻击者可能会通过篡改客户端程序窃取手机用户的隐私信息。
4.1.1.4 【中危】源代码壳检测测试
 风险描述:
通过测试检测目标app的壳信息,分析该app是否缺乏壳保护,若app缺乏壳保护,攻击者可以使用工具AndroidKiller、JEB等工具可以对app进行反编译、逆向、篡改、调试、窃取等攻击行为。
4.1.1.5 【安全】源代码硬编码检测测试
 风险描述:
开发者将密钥、服务接口、账号密码信息编码在代码、文件中;尤其加密密钥,这样会引起很大风险。因为密码学算法都是公开的,加密内容的保密依靠的是密钥的保密,密钥如果泄露,对于对称密码算法,根据用到的密钥算法和加密后的密文,很容易得到加密前的明文;对于非对称密码算法或者签名算法,根据密钥和要加密的明文,攻击者可以计算出签名值,从而伪造签名。对于服务接口、账号密码直接硬编码,攻击者通过逆向便可直接获取到相关信息进行利用。
4.1.1.6 【中危】源代码混淆检测测试
 风险描述:
通过检测目标app反编译后的代码,检测其代码是否存在在未混淆处理,或混淆强度较低,导致攻击者可以很容易地通过静态方式,对app代码进行分析和篡改等恶意行为。
4.1.1.7 【中危】Activity导出属性测试
 风险描述:
Activity 是否可由其他应用的组件启动,由android:exported控制,配置为“true”表示可以,配置为“false”表示不可以。若为“false”,则组件只能由同一应用的组件或使用同一用户 ID 的不同应用启动。如果组件组件没有设置android:exported属性,那么exported默认值取决于 Activity 是否包含 Intent 过滤器,如果IntentFilter不为空时,组件被认为是导出的,可通过设置相应的Intent唤起组件。

2020-12-07 18:16 负责人:无 分享
已邀请:
世事轮回

世事轮回 (作者) - 一个孤独的人

有谁知道在改哪些设置吗?求关注

该问题目前已经被锁定, 无法添加新回复