安全问题
一 系统层面安全
1 权限使用
2 Root风险
3 APP反编译与逆向
二 应用层安全
1 组件劫持
2 DNS劫持
3 Webview 安全漏洞
4 APP进程劫持
三 业务层安全
1 网络明文传输
2 本地数据泄露
3 业务逻辑被篡改
4 Native代码被攻击
APP实际安全问题
在本人的开发中不断遇到的安全问题,以及漏洞盒子爆出的安全漏洞,目前包含已经解决的,也有目前还未解决的相关case, 以下列举了出现过的安全漏洞。
1 升级过程全程被劫持(请看 :App安全(一) Android防止升级过程被劫持和换包
2 DNS劫持,H5页出现恶意广告
3 刷单,刷赞,(api缺失校验)
4 登录界面劫持
5 交易接口劫持定向
6 数据库存在sql注入风险,泄露敏感信息
7 包反编译植入病毒二次打包,或重新打包一个修改业务代码的伪造的好房拓APP。
8 应用运行信息可被全程HOOK
9 安卓客户端存在密码撞库风险
10 本地ddos拒绝服务攻击
11 客户端设计缺陷可导致中间人攻击