如何使用ThreadingTest提高软件安全性检测效率(上)
一般来说,对安全性要求不高的软件,其安全性测试可以混在单元测试、集成测试、系统测试里一起做。但对安全性有较高需求的软件,则必须做专门的安全性测试,以便在破坏之前预防并识别软件的安全问题。安全性测试(Security Testing)是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程...
分类:
其他好文 时间:
2015-08-03 19:10:30
阅读次数:
140
@author ASCE1885的 Github 简书 微博 CSDN
最近项目中需要实现自己的APK加固方案,因此就有了这一篇调研报告。
软件安全领域的攻防向来是道高一尺魔高一丈,攻防双方都处于不断的演变和进化过程中,因此软件加固技术需要长期持续的研究与投入。目前成熟的第三方解决方案1. 娜迦针对Android平台下的APP被逆向分析,破解,植入木马病毒后,用户敏感信息泄露或者被钓鱼网站劫...
分类:
移动开发 时间:
2015-07-23 23:49:03
阅读次数:
269
随着互联网和智能手机的快速发展,市场的需求也发生很大变化。本来一些应用软件只是在银行或者财经的机构内部使用话,安全性、保安性要求相对比较容易控制,现在很多开始在智能手机APP使用。原本机构使用的系统,现在面向大众开放,要如何才能保证安全性?
在香港,由于系统的漏洞,发生过很多次安全性事件,例如:由于医院系统安全性不足,病人的信息被黑客偷盗导致泄漏。
举些例子,大家就能意识到整个...
分类:
其他好文 时间:
2015-07-22 10:50:08
阅读次数:
158
例如,Android系统禁止更新安装签名不一致的APK;如果应用需要使用system权限,必须保证APK签名与Framework签名一致,等等。在《APK Crack》一文中,我们了解到,要破解一个APK,必然需要重新对APK进行签名。而这个签名,一般情况无法再与APK原先的签名保持一致。(除非APK原作者的私钥泄漏,那已经是另一个层次的软件安全问题了。)...
分类:
移动开发 时间:
2015-06-27 18:24:12
阅读次数:
147
在Android应用开发中,当我们开发完软件之后,我们不希望别人能够反编译破解我们的应用程序,不能修改我们的代码逻辑。实际上,在应用程序的安全机制考虑中,我们希望自己的应用程序安全性高,通过各种加密操作等来增大竞争对手的反编译破解成本。设想,竞争对手开发一个同样的应用程序需要10天,而破解我们的软件程序需要100天,那么势必会打消黑客程序员破解我们应用程序的念头。如何增加对手的破解成本,就需要考验我...
分类:
移动开发 时间:
2015-06-02 17:53:49
阅读次数:
178
具有导向性的模糊测试Fuzzing技术被证明是当前鉴别软件安全问题方面最强大测试技术。当前大多数远程代码执行和特权提升等比较严重的漏洞都是使用Fuzzing技术挖掘的。
然而Fuzzing技术仍然存在着覆盖率低的缺陷。而许多的代码漏洞需要更大的路径覆盖率才能触发,而不是通过纯粹的随机尝试。为了解决这一问题,已经提出了不少通过提供被测试代码更多的信息去引导和增强测试技术的方法。如简单的语义库蒸馏(c...
分类:
其他好文 时间:
2015-05-13 19:49:00
阅读次数:
785
Pam可插拔验证模块,允许系统管理员设置多种验证措施而无需重新编译要进行验证的程序修改/etc/pad.d/system-auth文件,设定密码策略修改文件权限chmod<模式><文件或目录名>通过使用文件系统的ACL高级权限控制文件的安全性应用软件安全策略:sudo权限管控,rpm安全..
分类:
系统相关 时间:
2015-05-12 01:48:16
阅读次数:
197
Pam可插拔验证模块,允许系统管理员设置多种验证措施而无需重新编译要进行验证的程序修改/etc/pad.d/system-auth文件,设定密码策略修改文件权限chmod<模式><文件或目录名>通过使用文件系统的ACL高级权限控制文件的安全性应用软件安全策略:sudo权限管控,rpm安全..
分类:
系统相关 时间:
2015-05-12 01:46:10
阅读次数:
193
