网易云安全(Easy Shield)朱:最容易被拒绝的10大应用过 发布时间:2020-03-26
1月20日,“走进网易:移动测试与安全实践”公开活动在杭州西湖区高益创业大厦4楼友协会创业咖啡厅举行。本活动的主题集中在如何实现应用程序的高效开发、安全的过检查以及在开发过程中最小化功耗等热点问题上。
许多网易和华为的技术专家在现场分享了他们在工作中的相关经验和技术实践。网易高级安全开发工程师朱带来了主题为“安卓应用安全超检实践”的干货分享。他认为,工业和信息化部对移动应用安全的要求越来越高,这导致许多开发者面临被下架的尴尬。因此,他建议,在开发移动应用程序时,技术开发人员应特别注意以下容易被检测方拒绝的常见检测项目。
网易高级安全开发工程师朱分享了现场。
1.程序代码安全性
“许多人可能认为这种技术含量不是很高。事实上,当应用程序上线时,测试人员有一些要求。”朱认为,APP上线后,开发商应准备好相关的《法律声明和隐私政策》、关于呼叫系统申请用户权限的说明、关于如何使用SDK收集用户数据以及收集用户数据的目的的说明。这些都是强制性要求。
2.程序代码保护
程序代码保护是测试人员判断代码保护的基本强度的项目之一,也是判断APP开发者是否具有安全开发意识的标准之一。行业中最常见的程序代码保护如下:客户端APP使用代码混淆技术,添加可防止第三方进行反向编译的反向反编译工具,并使用诸如增强、防篡改机制和二次打包等技术。
3.密码和安全策略
这个问题在金融应用程序中非常常见。开发人员通常需要考虑用户在输入帐户密码时是否会被第三方捕获。“当我们帮助客户解决这个问题时,我们建议客户必须有一个反键盘录音软件开发工具包,这样用户每次打开它都会有一个不同种类的键盘字幕,而且应用程序会更安全,更容易检查,”朱邢星说。
网易云安全(易盾)安全键盘
4.权限和界面安全性
在移动互联网时代,黑客的攻击越来越多样化。伪造用户登录页面窃取用户信息就是其中之一。当应用程序通过测试时,测试人员将提供相同的错误登录页面来测试应用程序是否意识到预防,这要求开发人员在应用程序中适当地给用户一些警告信息,表明登录或密钥界面已经被警告信息覆盖。
5.动态调试
动态调试技术在软件逆向工程领域也是一个非常流行的概念。这意味着破解程序使用调试器来跟踪软件的操作,并找到破解它的方法。朱说:“面对破解程序的动态调试,我们可以采取加强APP的方案,防止APP被动态调试。”
6.硫酸注射
所以注入也是一种常见的黑客入侵方法,这是安卓应用程序过度检查中必须的。据朱介绍,解决这个问题一般有三种方法:修改链接器中的dlopen函数,防止第三方加载;定期检测应用程序加载的第三方so库,如果发现注入的SO,则卸载加载的SO;加强被测系统,防止被测系统被动态注入第三方服务对象。
7.内存数据保护
如何保护自己的程序不被其他程序读取或重写内存一直是技术开发人员需要解决的重要问题。在朱的分享中,他提到防止内存被第三方程序读写。“我们监控/proc/pid/mem、/proc/tid/mem和其他文件的读写操作。当这些文件被第三方程序访问时,我们触发set回调函数,并配合注入防止、调试防止等方法,最终实现内存修改防止。”
8.数据的隐私和存储
如果技术开发人员的代码文档以明文形式存储,很容易出现问题。“事实上,不管APP是否有其他问题,如果检测器检测到APP中有明文存储,它肯定会被回调,”朱·在解释问题的重要性时提醒开发人员,在开发阶段必须注意在xml和db文件中是否有明文存储。
9.日志信息披露
在移动应用的开发过程中,日志信息的安全性是一个非常值得关注的问题。日志信息的公开主要是为了防止打印出来的日志容易被破解,被用作分析的起点,分析应用的执行逻辑等。除了静态代码不能出现日志调用,动态运行时也不能输出日志信息。
10.通信和数据安全
在世界新一轮新技术革命的冲击下,用户的生活方式越来越依赖在线应用,导致通信数据爆炸式增长。然而,令人担忧的是,网上数据的大量积累增加了数据泄露的可能性,从而对信息安全造成威胁。为了解决这一威胁,建议对敏感数据进行加密和传输,增加加密通道的安全检测(包括中间人攻击检测等)。)HTTPS通信协议等。
朱说:“以上只是测试方最容易拒绝的10个最常见的项目,行业内还有很多其他测试项目。为了避免被拒绝的尴尬,开发人员可以在检查应用程序之前提前检查网易云安全(Ease Shield),提前发现问题,解决问题,并缩短安全审查周期。”
关于网易云安全(一盾)
网易云安全是网易云下的安全云服务。它提供一站式安全服务,涵盖内容安全、移动安全、业务安全和网络安全,以及反DDoS服务。它解决了游戏、电子商务、社交网络和金融领域数千家企业的安全问题。
这篇文章是由网站管理员的用户提交的。未经网站管理员同意,严禁复制。例如,如果大多数用户在稿件中发现虚假报告,欢迎读者反馈、纠正和报告问题(反馈入口)。
免责声明:本文是对用户的贡献。站长之家发布这篇文章只是为了传达信息。这并不意味着站长之家同意其观点,不对内容的真实性负责,仅供用户参考,不构成任何投资或使用建议。读者被要求核实真实性和可能的风险,任何后果将由读者自己承担。
相关文章推荐
- 山东省为湖北省防疫和控制捐赠了10亿
- 金被发现在音乐会上作弊,并一度假装
- 刘备见人时说他是钟的。刘备和刘胜是
- 揭示雍正帝的特殊爱好,喜欢给大臣们
- 钟一生中从未打过一次著名的战役。为
- 当海印的财富管理公司计划裁员三分之
- 200,000名股东激动不已!从下限到上
- 苏宁瑞城启动230万美元基准科技城建
- 中国在意大利的防疫:从误解到赞美
- 2020年,空调品牌承受不起损失
- 龙脊股份(601012。上海:控股股东李春
- 不到两周,情节就会逆转!美国拒绝接
- 谁比NBA总决赛冠军更强?乔丹8-4,科
- 买车后,这10样东西一定在你的车里。
- 独立教练:我非常希望把阿奎罗和卢卡
- 李:西班牙体力和驾照都在手。我的家
- 七年前的今天,热火失去了詹伟,波什
- 前意大利小姐在科斯塔库塔吐口水:和
- [晨谈]是时候展示你的大脑了!让我们
- 4月1日河北疫情最新消息:2例新输入病
- 如果没有奔驰和宝马,BAIC华晨的“空
- 通用汽车下周交付首批20,000个口罩
- 穆尼:我的目标是在巴黎疫情期间和我
- 赖斯身体:巴洛特利失去了俱乐部和球
- 谢晖:从助理教练到教练是很自然的。
- 巴拉圭前锋的近1000件球衣被盗!包括
- 博腾事故:无人员伤亡,财产损失约25
- "显然我应该战术性地为梅西服务!"
- 怡保体育用爱心赞助波尔多,携手展示
- 马德里竞技主席:现在讨论军事问题没
- 美国新增确诊病例累计超过170,000例
- ANSA:孔蒂和国际球员都愿意减薪,目

