ANDROID APP安全从入门到放弃pub.pdf

ANDROID APP安全从入门到放弃 （照片部分由主办方添加） 何勇亮 上海市信息安全测评认证中心 WHO AM I 高级等保测评师 CISP、CISSP、CISAW、PMP 等级保护测评、渗透测试 网络安全咨询、风险评估 Wechat ：unicotech 目录 1 APP安全初探 2 APP安全学习路径 3 一点体会 APP安全初探 Part 1 APP 安全现状 数据来源：2019金融行业移动APP安全观测报告 数据来源：工业和信息化部，华经产业研究院 APP安全风险 M1-平台使用 M2-不安全的 M3-不安全的 M4-不安全的 不当 数据存储 通信 身份验证 M6-不安全的 M7-客户端代 M5-加密不足 M8-代码篡改 授权 码质量问题 M10-无关的 M9-逆向工程 功能 OWASP MOBILE TOP 10 2016 ANDROID应用安全风险 2018年Android应用安全白皮书 安全标准及规范 《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》 《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》 《JR/T 0092-2012中国金融移动支付客户端技术规范》 《JR/T 0095-2012中国金融移动支付应用安全规范》 《NIST SP800-163 Vetting the Security of Mobile Applications》 《OWASP移动安全测试指南》 APP安全人才需求 APP安全学习路径 Part2 APP安全学习路线图 逆向分 安全工 析 基础安 具箱 开发基 全机制 础 开发基础：开发环境构建 开发基础：语言基础 开发基础：项目文件结构 开发基础：APK文件格式 基础安全机制：ANDROID系统架构 基础安全机制：ANDROID安全机制 应用层（代码安全、接入权限） 应用框架（数字证书） SSL SQLite 虚拟机 （网络安全） (数据库安全) （安全沙箱） Linux Kernel （文件访问控制） 基础安全机制：四大组件安全 基础安全机制：AndroidManifest.xml 安全工具箱：SDK工具 tool