代码混淆 Android开发除了部分功能采用C/C++编码外,其余主要都是采用Java进行编码开发功能.Java应用非常容易被反编译,Android自然也不例外.只要利用apktool等类似的反编译工具,就可以通过安装包获取源代码.Google为了保护开发者的知识产权,为Android提供了ProGuard混淆方案,以增加反编译后源码阅读,但对于Android开发老司机和逆向工程师来说,解读还原出源代码只是时间问题. ProGuard是针对Java应用的保护,并不是专门针对Android应用的,…

掘金 Android 文章精选合集 掘金官方 关注 2017.07.10 16:42* 字数 175276 阅读 50053评论 13喜欢 669 用两张图告诉你,为什么你的 App 会卡顿? - Android - 掘金Cover 有什么料? 从这篇文章中你能获得这些料: 知道setContentView()之后发生了什么? ... Android 获取 View 宽高的常用正确方式,避免为零 - 掘金相信有很多朋友都有过在 Activity 中通过 getWidth() 之类的方法获取 Vi…

前言 “Android APP二次打包”则是盗版正规Android APP,破解后植入恶意代码重新打包.不管从性能.用户体验.外观它都跟正规APP一模一样但是背后它确悄悄运行着可怕的程序,它会在不知不觉中浪费手机电量.流量,恶意扣费.偷窥隐私等等行为. 二次打包问题只是Android应用安全风险中的一部分, 一般是通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场.论坛发布. 对于打包党对于移动App带来的危害有以下几种: 1. 插入自己广告或者删除原来广告: 2. 恶意代码, 恶…

花絮 也许会有人感叹某些人的运气比较好,但是他们不曾知道对方吃过多少苦,受过多少委屈.某些时候就是需要我们用心去发现突破点,然后顺势而上,抓住机遇,那么你将会走向另外一条大道,成就另外一个全新的自我. 先简单说说我最近的面试经历吧.面试的公司很多,其中有让我心血沸腾的经历,也有让我感到失望到无助的经历,我将这些体会都记录下来,细想之后很值得,面了这么多公司,要是最后什么也没有留下来,那就太浪费了.至少对于我来说有些东西在整理总结之后才能得到一个肯定的答案.希望这些能对即将换工作或者打算看看机会的…

第一章:IDE:Eclipse ADT for java developer其它: Apache Ant Java SE Development Kit5或6 Linux和Mac上使用Apache Ant 1.65+,Windows上使用1.7+版本:(单独的JRE是不可以的,必须要有JDK),不兼容Gnu Java编译器(gcj) Java_Home x:\xx\xx\java\JDK1.6.0-17classpath:.;%JAVA_HOME%/lib/rt.jar;%JAVA_HOME%/…

摘要 这篇文章本来早就应该写了,但是由于项目一直开发新的需求,就拖后了.现在有时间了,必须得写了.现在Android应用程序对安全防范这方面要求越来越高了.特别是金融行业,如果金融app没有没有做好相应安全处理,那些很容易被一些Hacker(黑客)所攻击.并不是说做了这些安全防范,这个应用就百分之百的安全的.只是说能够尽可能加大破解难度.也许有些开发者或者企业觉得.我们公司的app,数据量这些少,会有那个黑客吃饱了没事做来破解啊.又不是支付宝,或者其他那些用户量很多的应用.如果是这样想的话,那只…

花絮 也许会有人感叹某些人的运气比较好,但是他们不曾知道对方吃过多少苦,受过多少委屈.某些时候就是需要我们用心去发现突破点,然后顺势而上,抓住机遇,那么你将会走向另外一条大道,成就另外一个全新的自我. 先简单说说我最近的面试经历吧.面试的公司很多,其中有让我心血沸腾的经历,也有让我感到失望到无助的经历,我将这些体会都记录下来,细想之后很值得,面了这么多公司,要是最后什么也没有留下来,那就太浪费了.至少对于我来说有些东西在整理总结之后才能得到一个肯定的答案.希望这些能对即将换工作或者打算看看机会的…

引言 前两讲我们介绍了 DNS 相关的攻击类型,以及针对 DDoS 攻击的防范措施.这些都是更底层的知识,有同学就来问能否讲讲和我们的日常操作相关的知识点,今天我们就来说说和我们日常 DNS 操作相关的安全风险和防范措施. 账号安全 在平台上管理域名解析,就需要登陆,进行权限的认证.但域名在企业中可能会有多人需要操作,比如购买和续费.解析的操作管理,更有可能会将某些业务外包而要合作伙伴来操作域名.而我们知道,多个共用一个账号和密码是一种有很大安全风险的管理方式.在现在的复杂场景下,就需要有一个灵…

如今各家云厂商都通过给用户提供API调用的方式来实现一些自动化编排方面的需求.为了解决调用API过程中的通信加密和身份认证问题,大多数云厂商会使用同一套技术方案—基于非对称密钥算法的鉴权密钥对,这里的“密钥对”即API凭证,是云上用户调用云服务API.访问云上资源的唯一身份凭证. 在信息安全领域有一个广为认可的假定,即所有系统都是可攻破的,这里的“攻破”是广义的,可以是外部攻击,也可以是恶意内部威胁(insider threat),当然也可能是无心泄漏导致的潜在威胁.API凭证(在阿里云被称为A…

前言 在之前介绍的流量劫持文章里,曾提到一种『HTTPS 向下降级』的方案 -- 将页面中的 HTTPS 超链接全都替换成 HTTP 版本,让用户始终以明文的形式进行通信. 看到这,也许大家都会想到一个经典的中间人攻击工具 -- SSLStrip,通过它确实能实现这个效果. 不过今天讲解的,则是完全不同的思路,一种更有效.更先进的解决方案 -- HTTPS 前端劫持. 后端的缺陷 在过去,流量劫持基本通过后端来实现,SSLStrip 就是个典型的例子. 类似其他中间人工具,纯后端的实现只能操控最…