App常见的漏洞与解决方案
2016-07-15
APP安全在开发圈里已经是比较老的话题了,但是为什么到现在大家还有在讨论,说明目前这还是一个比较重要问题,同时也是有存在漏洞的。今天给大家分享一些APP比较常见的漏洞与解决方案。1、so库保护
程序的本地库文件是否做加密处理,简单的说就是对应用的核心代码做加密。但是说起SO库文件就不得不说ELF格式,GCC编译选项待补,简单实用的说明一下,对Linux下的SO文件有个实际性的认识。Linux SO文件简称是动态链接库文件, 也是ELF格式文件,共享库(动态库),类似于DLL。节约资源,加快速度,代码升级简化的作用。
2、DEX保护
Dex是Android系统中可以在Dalvik虚拟机上直接运行的文件格式。java源代码经过ADT的复杂编译后转换成Dex文件,这是一个逐步优化的过程。Dex文件的指令码就是Dalvik虚拟机专有的一套指令集,专门为嵌入式系统优化过,相比标准java的。class文件,它体积小,运行效率高。
3、程序签名检测
简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。
4、代码混淆
亦称花指令,是将计算机程序的代码,转换成一种功能上等价,但是难于阅读和理解的形式的行为。代码混淆可以用于程序源代码,也可以用于程序编译而成的中间代码。执行代码混淆的程序被称作代码混淆器。
5、Broadcast Receiver安全
Android四大组件之一,是一个专注于接收广播通知信息,并做出对应处理的组件。很多广播是源自于系统代码的──比如,通知时区改变、电池电量低、拍摄了一张照片或者用户改变了语言选项。应用程序也可以进行广播──比如说,通知其它应用程序一些数据下载完成并处于可用状态。
顾名思义就是正常应用的界面被恶意攻击者劫持,替换上仿冒的恶意界面作恶。界面劫持类攻击极具迷惑性很难被识别出来,界面劫持攻击不仅会给用户带来严重损失,更是移动应用开发者们的恶梦。界面劫持类攻击由来已久,而且这类攻击主要瞄准了用户的金融类交易操作。