市面上仅此一本的 App 安全“红宝书”,终于来了!

2014 年初,移动互联网产业快速发展,App 井喷式爆发,绝大多数使用的是 Android 系统。但是那时候大多数的开发者没有做好 App 的安全防护措施,面对移动互联网黑灰产的攻击,App 基本上处于“裸奔”状态。那些年,我们可以看到很多真实的 App 攻击案例:

  • 针对某款无人机,攻击者通过攻击操作者终端的 App,实现对无人机的远程劫持,重现 2014 年热门科幻电影《星际穿越》中的场景。

  • 针对特斯拉汽车,攻击者通过攻击车主终端的 App,实现对汽车远程开关门等恶意控制。

  • 针对日本最大马桶公司 Laxil 生产的智能马桶,攻击者通过攻击 App,实现远程控制,比如让坐浴喷水超过 1 米高、激活各种功能,使用户陷入窘境。

近年来,随着 App 的客户越来越多,被攻击的情况也越发增加,而且相比网站防御 ,App 防御难点很多。

App 仍然普遍存在大量的安全问题。例如,apk 文件反编译后暴露关键业务逻辑代码,网络通信使用明文传输关键业务数据,受限服务接口未经授权可远程任意访问,本地敏感数据未经加密可被其他 App 直接读取,等等。

很多 App 的安全防御能力都很薄弱,易被攻击,其中不仅有金融、支付、保险等领域的App,还有物联网 App 和车载 App 等。这些存在安全问题的 App 通过应用商店发布后,攻击者可以利用以上缺陷和漏洞对 App 进行逆向破解,导致 App 开发者不得不面临 App 被破解篡改、版权被盗用、用户信息泄露、交易支付被劫持等诸多烦恼,还可能因为严重的信息泄露问题不得不承担法律责任。

为了避免上述安全问题,对 App 进行安全测试就显得尤为必要。但是目前市场上没有公开、统一的安全测试标准,同时,安全企业又各有各的安全测试标准,这就导致 Android 开发者和测试人员没有渠道可以全面了解安全测试的标准和规范。

为了让每一个 App 开发者都能做一个具有安全经验的开发者,并从源头上避免最常见的安全风险点,让爱好者一开始就有一个 App 安全测试的思维模型雏形。

一线安全从业者将多年积累的安全测试经验整理成册, App 安全“红宝书”就此诞生!

这本书是市面上唯一一本讲解 Android 应用安全的入门书,涵盖 Android 应用 5 大类 55 项安全测试的要求与方法。对新手十分友好,将理论与实践充分结合起来,通过安全测试+安全防护,实现完美闭环,全方位精准提升 App 安全。

那么这本书有哪些特色呢?我们来具体看看。

全书内容概述

第 1 章,作者首先介绍安全基础。包括 App 安全测试过程中所需要了解的 Android App 安全基础,如 Android App 的生成和运行过程、Android 系统的安全模型。

市面上仅此一本的 App 安全“红宝书”,终于来了!_第1张图片市面上仅此一本的 App 安全“红宝书”,终于来了!_第2张图片

第 2 章,介绍测试工具。包括 App 安全测试过程中所需要使用的测试分析工具,从静态分析、动态分析、抓包分析、挂钩框架 4 个方面具体介绍 10 种以上必要工具的使用方法。

市面上仅此一本的 App 安全“红宝书”,终于来了!_第3张图片市面上仅此一本的 App 安全“红宝书”,终于来了!_第4张图片

第 3~8 章,讲解安全测试。从如何识别 App 中的信息资产入手,分析移动应用业务所涉及的关键信息资产,并深入分析移动应用生命周期中涉及的关键信息资产可能在什么地方遭受攻击,帮助读者进行 App 攻击面的理解和识别,总结 App 所涉及的信息资产和安全测试框架。在此基础上,对不同攻击面可能产生的安全问题进行分类和梳理。

其中,第 4~8 章分别从程序代码、服务交互、本地数据、网络传输和鉴权认证这 5 个方面提出 App 安全测试要求,并形成相应的安全测试方法。

市面上仅此一本的 App 安全“红宝书”,终于来了!_第5张图片市面上仅此一本的 App 安全“红宝书”,终于来了!_第6张图片

第 9~12 章,主要讲解安全防护。第 9 章介绍 Android App 的安全防护基础和加固技术。目前加固技术相对神秘,对加固技术进行详细介绍的图书很少,这一章会详细讲解 Android App 安全加固,分析第一代加固到第四代加固技术。

市面上仅此一本的 App 安全“红宝书”,终于来了!_第7张图片市面上仅此一本的 App 安全“红宝书”,终于来了!_第8张图片

第 10 章和第 11 章,分别从静态防护和动态防护两个方面详细介绍 Android App 加固技术的原理。第 12 章介绍如何对加固后的 Android App 进行脱壳,并通过实例讲解具体的脱壳步骤。


市场上第一本详细讲解

Android 应用安全评测技术的书

《Android应用安全测试与防护》

何能强,阚志刚,马宏谋 著

本书是市场上第一本详细讲解 Android 应用安全评测技术的书。从实际应用出发,侧重实战,深入浅出地讲解应用安全测试内容。涵盖 Android 应用 5 大类 55 项安全测试的要求与方法。主要内容包括安全基础、测试工具、安全测试和安全防护四个部分,是 Android 应用安全入门必读书。

适合读者:

  • Android 开发者

  • 安全测试工程师

  • App 安全业务人员

  • 安全测试零基础的在校大学生

  • 对 Android 应用安全测试感兴趣的所有人

作者介绍

何能强,博士,毕业于清华大学电子工程系,国家互联网应急中心(CNCERT/CC)高级工程师,长期从事国家级移动互联网网络安全应急响应和安全防护工作,出版网络安全领域的著作 1 部、译著 1 部,牵头发布通信行业标准十余项,以第一作者获得国家发明专利授权 4 项,出版移动互联网安全年报 3 本,发表 SCI、EI 等学术论文十余篇,负责中国互联网网络安全威胁治理联盟、中国反网络病毒联盟等主要工作。

阚志刚,博士,梆梆安全董事长兼首席执行官,于 2010 年创立梆梆安全,一直致力于为用户打造安全的移动应用生态环境,保障万物互联时代下的智能生活。2018 年当选国家“万人计划”科技创业领军人才,2016 年当选科技部“科技创新创业人才”,2012 年当选中关村“高端领军人才”。

马宏谋,某知名互联网安全公司安全部门副主任,参与过多个安全评测和恶意代码深度逆向分析项目,具有 8 年以上的 PC 端和移动端病毒分析经验,逆向分析实战经验丰富。

获得众多互联网大佬和安全专家联袂推荐

随着传感和移动计算技术的不断进步,App 通过收集和计算移动终端数据为用户提供各种个性化服务越来越普遍。然而,数据泄露等安全问题也随之而来。为了给用户提供更加安全可靠的服务,开发者需要知道 App 到底会存在哪些安全问题,如何发现问题、加强防护。建议 App 开发者一定要读这本书,从而掌握 App 安全测试的具体方法,了解 App 安全加固的具体思路,大大提升 App 的安全性。

—— 曹建农,香港理工大学电子计算学系讲座教授、互联网与移动计算实验室主任

移动 App 安全问题的解决,既需要通过移动 App 安全测试来检测,也需要在移动 App 设计、开发、发布过程中进行主动的防护。这本书从 Android 系统的安全模型以及 Android 应用的生成和运行原理讲起,全面介绍了各种安全测试工具、安全测试方法、静态加固技术、动态加固技术以及应用脱壳的知识,是一本 Android 应用安全入门“All in One”的好书,非常适合Android 应用安全测试人员与开发人员阅读。

—— 谭晓生,中国计算机学会副秘书长,北京赛博英杰科技有限公司董事长

安全测试与安全防护是提升 App 安全性的两大途径,本书兼顾两方面的内容,系统翔实地介绍了 App 安全测试的工作思路和测试方法,同时解密了大家都关心的 App 安全加固技术,内容丰富,实战性强,从事 App 安全工作的读者值得一读。

—— 范渊,杭州安恒信息技术股份有限公司董事长、总裁

本书从安全测试的视角展开,介绍了 Android 软件安全相关的知识,讲解了软件测评与加固技术等在实际应用中涉及的知识点,读者能从中学习到不少前沿的技术干货。

—— 丰生强,《Android 软件安全与逆向分析》《Android 软件安全权威指南》作者

如果你正因为 App 安全而烦恼,那不妨来看看这本,没准正是你需要的!

文末畅聊

说说你工作、生活中遇到过哪些 App 的安全漏洞,或者哪些 App 做的让你想吐槽?精选留言选出 3 位获得赠书。活动截至 2020.6.12。

推荐阅读:

他是马斯克最崇拜的男人,11次婉拒诺奖,被称作神,却死于贫穷

作为谷歌开发者布道师,我为什么要写这本通俗的《数据压缩入门》(二)

霸榜18年,作者连续20年获得微软MVP,这本SQL书凭什么成为畅销经典

☟ 一键拥有

你可能感兴趣的:(市面上仅此一本的 App 安全“红宝书”,终于来了!)