编码、解码技术是我们在程序中开发中经常使用到的,对一些敏感信息的存储,比如密码之类的,我们一般是不会直接以明文直接存储到数据库的,而是会通过各种算法,可以是现成的MD5(一种散列算法)、或者是Hash算法+Salt(混淆因子),甚至是自己定义的一套算法进行加解密。这里不想阐述加解密技术,在之前的一篇...
什么是SQL注入 SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取...
分类:
数据库 时间:
2015-08-10 18:16:27
阅读次数:
137
关于APP产品的一些安全测试点:安装包测试能否反编译代码一旦有源代码泄露公司的知识产权会受到影响,而且还有安全风险。测试中我们直接使用反编译工具查看源代码,看是否有敏感信息泄露,是否进行了代码混淆。(Android平台常用的反编译工具是的dex2jar和jd-gui)安装包是否有签名主要针对Andr...
分类:
移动开发 时间:
2015-08-06 12:31:57
阅读次数:
148
在处理WCF异常的时候,有大概几种方式:第一种是在配置文件中,将includeExceptionDetailInFaults设置为true但是这种方式会导致敏感信息泄漏的危险,一般我们仅仅在调试的时候才开启该属性,如果已经发布,为了安全,我们一般会设置成false。第二种方法是自定义错误,通过Fau...
分类:
其他好文 时间:
2015-08-03 16:32:45
阅读次数:
106
Android开发中经常需要对敏感信息进行加密,避免不了要将密钥存放在终端设备上,那么如何防止密钥被逆向出来呢?这是一个先有鸡还是先有蛋的悖论。相比较将密钥写在Java层,将其下移到NDK层是个更好的选择,本文就来介绍如何对NDK层代码进行混淆,以更好的保护我们的密钥。
混淆是一种用来隐藏程序意图的技术,...
分类:
移动开发 时间:
2015-07-31 21:58:27
阅读次数:
445
本文翻译自https://www.securecoding.cert.org/confluence/display/java/DRD00-J.+Do+not+store+sensitive+information+on+external+storage+%28SD+card%29+unless+en...
分类:
移动开发 时间:
2015-07-30 22:44:24
阅读次数:
148
短信接收原理关于Android操作系统短信的接收和发送流程的文章网上有一大堆,但是真正说得很清楚的不多,这篇blog写得不错。其实要想真正弄懂Android操作系统短信的流程,还是Linus的那句话: Read the fucking source code.呵呵
在Android操作系统中,大部分敏感信息的传递过程都是基于binder机制的,当然SMS也不例外。对于SMS的接收流程的描述从Fra...
分类:
移动开发 时间:
2015-07-28 14:35:49
阅读次数:
547
短信接收原理关于Android操作系统短信的接收和发送流程的文章网上有一大堆,但是真正说得很清楚的不多,这篇blog写得不错。其实要想真正弄懂Android操作系统短信的流程,还是Linus的那句话: Read the fucking source code.呵呵
在Android操作系统中,大部分敏感信息的传递过程都是基于binder机制的,当然SMS也不例外。对于SMS的接收流程的描述从Fra...
分类:
移动开发 时间:
2015-07-28 14:35:14
阅读次数:
3121
默认情况下,SMTP流量是不被加密的,这就导致在公网上进行邮件沟通就像是在广播一样,任何人拦截到该邮件都可以轻而易举的读取其内容。但是现实场景中有许多敏感信息是通过邮件来进行发送的,所以其中一种保护邮件安全的方法就是使用传输层安全协议(TransportLayerSecurity)..
分类:
其他好文 时间:
2015-07-25 07:16:34
阅读次数:
382
@author ASCE1885的 Github 简书 微博 CSDN
最近项目中需要实现自己的APK加固方案,因此就有了这一篇调研报告。
软件安全领域的攻防向来是道高一尺魔高一丈,攻防双方都处于不断的演变和进化过程中,因此软件加固技术需要长期持续的研究与投入。目前成熟的第三方解决方案1. 娜迦针对Android平台下的APP被逆向分析,破解,植入木马病毒后,用户敏感信息泄露或者被钓鱼网站劫...
分类:
移动开发 时间:
2015-07-23 23:49:03
阅读次数:
269
