移动安全大讲堂第二讲:整体解决方案之APP安全评估
来源:互联网 发布:mysql 锁定所有表 编辑:程序博客网 时间:2024/05/09 01:44
昨天给大家讲了现如今网络安全的重要性,那么,面对这样大面积的网络漏洞,我们应当如何解决呢?
智能手机现在是越来越普及了,新出的iPhone X竟然可以刷脸解锁!越来越人性化的智能手机在未来可以完成越来越多的事情,而这些事情想要成功的保障就离不开安全。手机APP应用的安全性是保护用户隐私最重要的大门,那么如何帮助不同系统,不同应用APP提高它们的安全性,这就是几维安全的功能所在!
几维安全移动应用整体解决方案从一下三个方面为用户解决安全困扰。
APP安全评估
对移动应用可能出现的风险以及国家颁布的移动应用相关检测机制自定的一套移动应用自动检测系统,该系统能够准备检测出移动应用中所包含的风险点,以及修复建议,用户根据修复建议完善移动应用安全二次建设。
Android安全加固
dex文件函数抽离+虚拟化高强度保护
so文件关键字符串加密
so文件高级混淆
ir指令集虚拟化
内存数据防查看修改
高级内存保护(防注入,调试,dump)
ios安全加固
关键字符串加密
源码高级混淆
自定义混淆函数以及混淆强度
bitcode模式加密
IR指令集虚拟化
为什么APP安全评估要放在首位?
几维安全APP安全评估
在你打败你的敌人之前,你需要了解你的敌人。知己知彼,才能百战不殆。
评估标准
《YD/T 2694-2014 移动互联网联网应用安全防护要求》
《YD/T 2695-2014 移动互联网联网应用安全防护检测要求》
《JR/T 0098.3-2012中国金融移动支付 检测规范 第3部分:客户端软件》
《YD/T 2848.2-2015 移动互联网恶意程序检测方法 第2部分:终端侧》
《信息技术 安全技术 信息安全管理体系 要求》(GB/T22080-2008)
《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》
《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》
静态评估
1、使用apktool来反编译apk
2、得到程序的smail源码和AndroidManifest.xml文件
3、直接解压apk文件得到classes.dex文件,然后用dex2jar工具得到jar,用jd-gui工具查看。
4、如果程序中有涉及到native层的话,我们可以用IDA打开指定的so文件。通过java代码,找到指定的so文件,在用IDA来静态分析so文件。
动态评估
使用沙箱机制,使用虚拟机,安装启动应用程序,利用随机monkey获取应用功能信息,同时启动拟定的自动调试、攻击工具,进行自动分析,并记录其信息并最终通过报告显示出来。
人工评估
通过专业评估人员,对应用进行动态分析,包括接口分析,秘钥安全分析,进程注入、进程调试等动态调试。
APP安全评估页面展示
每一项我们会给出扣分分数以及扣分原因,让你能直观的看出你的APP哪里存在问题,问题的重点又在哪里。
APP安全评估内容
代码检测
Java代码
C、C++代码
db数据文件
xml数据文件
C#代码
Lua代码
防御检测
java调试检测
SO调试检测
进程注入检测
签名校验检测
系统加速检测
内存安全检测
盗版检测
解压检测
签名信息
盗版检测
漏洞扫描
WebView RCE漏洞
HackerBase64字符串加密
Implicit_Intent隐式服务
SSL_Security SSL连接
权限检测
恶意权限
流氓权限
位置权限
当你通过详细的安全分析,才能发现你的APP具体是那个方面有所不足,从而进行相对应的解决处理。而几维安全,将这一切都向你展现了出来。那么关于具体的安全加密我们会以什么样的方式进行处理呢?如果是你,你会从哪几个方面来进行APP加密呢?欢迎大家联系客服,与几维一起讨论加密的故事~
- 移动安全大讲堂第二讲:整体解决方案之APP安全评估
- 移动安全大讲堂:整体解决方案之Android加固保护
- 移动安全大讲堂:整体解决方案之iOS加密保护
- 移动安全大讲堂第一讲:移动应用现状分析(内附注册抽奖中奖名单)
- 第二讲 Kali安全工具之top10
- 移动安全大讲堂:几维安全能带给你什么?
- 移动APP安全
- 【移动安全】Android APP逆向跟踪分析常见问题解决方案
- Drozer--Android APP安全评估工具
- CIO构建网络整体安全解决方案
- 第二章 实践app安全
- 企业安全需要全面的整体安全解决方案
- 移动APP安全测试要点
- 移动APP安全测试要点
- 移动安全之Android安全检测工具大全
- App安全之网络传输安全
- App安全之网络传输安全
- App安全之网络传输安全
- weblogic控制台密码忘记解决方法
- K:Tcp/Ip三次握手与四次挥手
- 复习三种最基本的排序算法
- STM32 SPI NSS 作用
- printf重定向<达到向向服务器写日志效果>
- 移动安全大讲堂第二讲:整体解决方案之APP安全评估
- 2017鸡年女宝宝名字要怎么起更好?女孩子起名也有注意事项的
- python3的爬虫抓取猫眼电影的信息(requests+正则表达式)
- ACPI 简析
- linux中noinline和inline关键字解析
- 时间服务器搭建
- java内存OOM
- PCIE_DMA实例三:Xilinx 7系列(KC705/VC709)FPGA的EDK仿真
- int main(int argc,char* argv[])详解