Android应用安全

Android应用安全攻击面看安全

attack_surface.png

https://blog.csdn.net/u010651541/article/details/53142252
http://colbert337.github.io/2015/08/24/android-attack-surface/

安全开发生命周期

https://www.cnblogs.com/shilxfly/p/7196875.html

• 安全设计
• 威胁建模
• 安全开发
• 安全编码
• 安全测试
• 代码审计

安全风险评估Risk Assessment

Android安全基础

• java/c/cpp/vm asm
• android framework基础
• xpose框架/插件/热修复原理
• dex/Odex格式基础/dalvik和art虚拟机
• IDA、GDB、JEB逆向工具

Android权限机制

https://source.android.google.cn/security/overview/kernel-security

Android签名机制

• v1签名
• v2签名
• 应用多渠道发布

Android加固原理

• 应用加固
  应用加固
  http://jiagu.360.cn/1101141392.php?dtid=1101141786&did=1101262105
  https://jaq.alibaba.com/community/art/show?articleid=1127
  http://www.520monkey.com/archives/1118
  http://secwiki.neu.edu.cn/wiki/images/1/1e/%E8%B0%88%E8%B0%88%E7%A7%BB%E5%8A%A8%E5%BA%94%E7%94%A8%E5%8A%A0%E5%9B%BA_LBE.pdf
  https://chaman.gitbooks.io/techblog/Android/apk-enchance/apk-enchance.html

加固方案对比： https://www.niwoxuexi.com/blog/android/article/233.html
dex全量加固：
https://juejin.im/entry/5a5c55426fb9a01c9f5b65ed
https://blog.csdn.net/jiangwei0910410003/article/details/48415225/

Android中apk加固完善篇之内存加载dex方案实现原理(不落地方式加载dex)
http://www.10tiao.com/html/465/201606/2649229971/1.html

• so加固
• 代码资源混淆机制

Android逆向

• apktool和jadx
• xposed hook机制frida/Xposed
• 脱壳zjdroid
• native hook cydia substrace
• 静态逆向
• 动态调试smali
• ida调试so

Android网络协议安全

Android数据安全

Android重要的CVE分析

重要的安全博客

http://blogs.360.cn/360mobile/
http://jaq.alibaba.com/?spm=a313e.7837752.1000000.1.44ff69b1P4qoom
http://www.freebuf.com/articles/terminal
http://www.cnblogs.com/2014asm/
http://www.droidsec.cn/
https://www.anquanke.com/#
https://blog.flanker017.me/
https://security.tencent.com/index.php/blog
https://blog.csdn.net/u010651541

攻击-漏洞挖掘原理和机制

业界通用的安全思想实践