Android渗透测试注意事项

源码安全检测工具:Fortify

Fortify Source Code Analysis Suite是目前在全球使用最为广泛的软件源代码安全扫描,分析和软件安全风险管理软件。

注意事项

  • APP回退后台提示,建议在APP退出后台时给用户风险提示,以防用户敏感信息被盗
  • Activity防止劫持
  • HTTPS证书验证(防抓包,防止中间人攻击)
  • root检测,可使用逍遥模拟器
  • 密码摘要使用SHA256,禁用MD5
  • 反射优化,禁用Field.setAccessible(true)
  • 关键页面防止截屏
  • 应用程序不允许备份:建议将android:AllowBackup属性设置为false
  • 禁用模拟器
  • 防止二次打包:Native层进行验签
  • 流关闭,使用try-catch-finallytry-with-resources/try-with-statement
  • RSA秘钥长度:2048位
  • 点击防重

Powered by AppBlog.CN     浙ICP备14037229号

Copyright © 2012 - 2020 APP开发技术博客 All Rights Reserved.

访客数 : | 访问量 :