App安全(四) Android安全漏洞概论

安全与加密系列

Posted by Tamic on 2017-05-02

安全问题

一 系统层面安全

1 权限使用
2 Root风险
3 APP反编译与逆向

二 应用层安全

1 组件劫持
2 DNS劫持
3 Webview 安全漏洞
4 APP进程劫持

三 业务层安全

1 网络明文传输
2 本地数据泄露
3 业务逻辑被篡改
4 Native代码被攻击

APP实际安全问题

在本人的开发中不断遇到的安全问题,以及漏洞盒子爆出的安全漏洞,目前包含已经解决的,也有目前还未解决的相关case, 以下列举了出现过的安全漏洞。

1 升级过程全程被劫持(请看 :App安全(一) Android防止升级过程被劫持和换包

2 DNS劫持,H5页出现恶意广告

3 刷单,刷赞,(api缺失校验)

4 登录界面劫持

5 交易接口劫持定向

6 数据库存在sql注入风险,泄露敏感信息

7 包反编译植入病毒二次打包,或重新打包一个修改业务代码的伪造的好房拓APP。

8 应用运行信息可被全程HOOK

9 安卓客户端存在密码撞库风险

10 本地ddos拒绝服务攻击

11 客户端设计缺陷可导致中间人攻击