记一次APP过等保安全测试经验

近期APP需要上线，但是需要申请一些资质。作为一名技术人员是真的不懂这些啊，老板要什么就给什么喽，一顿打包之后就交给了测试平台。

静等两天，测试平台给了一分测试报告，并要求修改其中的高危漏洞。

1.WebView 远程代码执行

2.程序反编译

3.Activity 劫持

4.动态调试检测

5.SO 注入检测

WechatIMG2.jpeg

乍一看，我擦嘞，我的APP有这么多漏洞吗，可是这些东西我也不会啊。只能去问度娘了，度娘还是那个度娘啊，找出来全是各大加固平台的广告，点进去试了一下，发现加固平台又分免费版和企业版。抱着试一试的心态（其实就是懒的再去找了），用360加固出了一个APK再次丢给了测试平台。

静等2天，又是一份报告：

WechatIMG3.jpeg

没错，只有两个高危漏洞了，看来加固是有用的。于是想申请一个企业版看看，无奈倒在了价格上面，各大平台都是按时间来收费的，基本都是8W每年每个APP，这个价格让我一个十八线小程序员怎么吃得消啊。

只能继续度娘了，但是百度这方面的经验的人确实很少，好在最好还是解决了。

WechatIMG4.jpeg

解决方案 ：通过ptrace方式判断 。如果进程被附加处于调试状态，则/etc/$(procID)/status中进行procid的判断，如果进程id不为零则直接杀死本进程退出。如果进程被附加处于调试状态，则/etc/self/status中对TracerPid后面的进程ID进行判断，如果进程id不为零则直接杀死本进程退出。

总结，上面这个方案其实是用来解决动态调试的问题的，但是我用了这个方案之后，检测平台给的报告是两个高危漏洞都没有了，非常的nice。