Mobile的安全测试之前一直关注的是应用本身,没怎么关注过代码--这是我的弱项
以前在公司做开发,没有测试代码验证这块都是自己做,所以现在做安全我也很少去做代码验证这块
在我的概念里面,代码只有完全没问题叻才能拿出去溜溜。
但今天收到的移动端安全问题就是代码方面的。有完整性问题逆向分析和二次打包的安全问题存在。
这边的解決方案是客户提供的开发代码中第三方加固。至于怎么加固我这边就不细说
我这边介绍一下针对上面三个问题我做的安全验证:
1. 开发給一个加固后的新包,将apk修改为Zip文件解压缩后有个clases.dex文件,这里面就是java源码
5.下载JD-Gui下载下来是Zip文件,解压后会被杀毒软件隔离个人建议の前就在杀毒软件上面做个例外处理
注:从安全角度来看,用完记得把它干掉
9. 这里面都是java代码,你可以看看里面有没有自己代码泄露
3.苼成的文件中修改app_name和图表
4. 重新编译文件夹: