基础的Android安全
1.混淆
混淆规则、proguard工具
查看是否混淆代码:
利用反编译工具dex2jar,反编译apk文件,得到jar包,打开jar包,可以看到类、方法是否被混淆。
一定要严格的规范我们混淆的rule。
2.权限
利用aapt命令直接查询Android apk的所有使用的权限。
3.本地数据的安全
adb shell
Android系统原生应用(rom里面的应用), 路径: /system/app/xxx.apk
用户安装的应用, 路径: /data/app/com.xxx.apk
db:本地数据库文件,sqllite轻量级数据库文件。
例如, 手机QQ的db路径为: /data/data/com.tencent.mobileqq/databases
可以把db文件导入到电脑中,查看其具体数据(手机QQ的db数据已经加密!)
4.敏感词
可以利用shell、python等脚本语言,通过正则表达式(re)来进行敏感词的扫描。
在ios日志, Android日志, server日志中可以检索到敏感词, 进行字符串的处理。