App 安全實戰指南 : Android 和 iOS App 的安全攻防與合規

安亞龍

  • 出版商: 機械工業
  • 出版日期: 2024-08-01
  • 定價: $594
  • 售價: 8.5$505
  • 語言: 簡體中文
  • 頁數: 240
  • ISBN: 7111757823
  • ISBN-13: 9787111757825
  • 相關分類: AndroidApple Developer
  • 下單後立即進貨 (約4週~6週)

買這商品的人也買了...

相關主題

商品描述

本書覆蓋Android和iOS兩大主流系統,從零開始,帶領讀者全面掌握App安全的知識與技能。全書共分為十章,主要包括以下4個方面:1.詳細介紹App的運行機制、分析工具和匯編語言等基礎知識。幫助讀者掌握必要的技術原理和分析技能。2.主要講解App的常見攻擊方式,以及安全加固和通信安全等傳統的信息安全理念。為開發者提供有效的防御攻擊的方法,構建更加安全的移動應用。3.重點關注業務防控,包括設備指紋、設備環境檢測和用戶異常行為的識別等。幫助開發者識別並應對各種潛在的安全威脅。4.針對日益嚴格的App監管環境,根據《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》及相關標準,結合實操,探討如何實現App合規。總之,通過學習本書,讀者不僅能夠深入了解App安全的基礎知識與高級技術,還能獲得豐富的實戰經驗和實用的防護策略。

目錄大綱

前  言
第1章  移動應用安全基礎  1
1.1  移動應用的簽名  1
1.1.1  Android簽名機制和原理  1
1.1.2  iOS簽名機制和原理  7
1.2  移動應用的安裝  11
1.2.1  Android應用安裝  11
1.2.2  iOS應用安裝  13
1.3  移動應用的權限  14
1.3.1  Android應用的權限  14
1.3.2  iOS應用的權限  16
1.4  移動應用的運行  17
1.4.1  Android應用的運行  17
1.4.2  iOS應用的運行  20
第2章  應用分析基礎  23
2.1  常用工具  23
2.1.1  越獄版商店Cydia  23
2.1.2  Root工具Magisk  25
2.1.3  Hook框架EdXposed  27
2.1.4  Hook框架Frida  35
2.1.5  Hook工具Objection  40
2.1.6  Hook工具Tweak  43
2.1.7  安全測試工具Drozer  47
2.2  常用命令行工具  49
2.2.1  ADB  49
2.2.2  readelf  53
2.2.3  Apktool  55
2.2.4  Clutch  55
2.2.5  Class-dump  57
2.3  Android應用分析  58
2.4  iOS應用分析  62
第3章  匯編基礎  65
3.1  Smali匯編基礎  65
3.1.1  基本類型  65
3.1.2  寄存器  66
3.1.3  基礎指令  67
3.1.4  語法修飾符  70
3.1.5  函數調用  72
3.1.6  函數返回值  74
3.2  ARM匯編基礎  75
3.2.1  寄存器  75
3.2.2  基礎指令  78
3.2.3  函數調用  81
3.2.4  ARM64位匯編  84
第4章  常見的攻擊方式  86
4.1  重簽名攻擊  86
4.1.1  Android應用重簽名  86
4.1.2  iOS應用重簽名  90
4.2  動態注入與Hook操作  92
4.2.1  Android動態注入  93
4.2.2  iOS動態注入  94
4.2.3  Android Hook攻擊  97
4.2.4  iOS Hook攻擊  100
4.3  動態調試  105
4.3.1  Android動態調試  105
4.3.2  iOS動態調試  111
4.4  Scheme攻擊  114
4.5  WebView攻擊  116
第5章  客戶端安全加固  120
5.1  Java/Kotlin代碼保護  120
5.2  C/C++代碼保護  122
5.2.1  代碼混淆保護  122
5.2.2  文件加殼保護  125
5.3  簽名校驗  126
5.3.1  Android簽名校驗  126
5.3.2  iOS簽名校驗  128
5.4  SO文件保護  129
5.5  應用防調試  132
5.5.1  Android應用防調試  132
5.5.2  iOS應用防調試  134
5.6  完整性校驗  137
5.6.1  Android應用完整性校驗  137
5.6.2  iOS應用完整性校驗  138
5.7  防動態注入與防Hook  138
5.7.1  Android應用防動態注入與防Hook  139
5.7.2  iOS應用防動態注入與防Hook  140
5.8  Scheme防護  142
5.9  WebView防護  143
第6章  網絡通信安全  145
6.1  通信防抓包  145
6.1.1  代理檢測  145
6.1.2  代理對抗  146
6.1.3  證書校驗  146
6.2  數據防篡改  150
6.2.1  請求參數防篡改  150
6.2.2  請求數據防重放  151
6.3  通信數據加密  152
第7章  設備指紋  158
7.1  設備指紋系統  158
7.2  設備數據采集  159
7.3  設備指紋生成  164
7.4  設備指紋隱藏  165
7.5  設備指紋應用  166
第8章  風險環境檢測  169
8.1  模擬器檢測  169
8.2  設備Root/越獄檢測  171
8.2.1  Android Root檢測  172
8.2.2  iOS越獄檢測  174
8.3  函數Hook檢測  175
8.3.1  Java Hook檢測  175
8.3.2  GOT Hook檢測  177
8.3.3  Inline Hook檢測  180
8.3.4  Swizzle Hook檢測  183
8.3.5  Fishhook檢測  185
8.3.6  Substrate Hook檢測  186
8.4  設備狀態檢測  187
8.4.1  調試狀態檢測  187
8.4.2  VPN狀態檢測    188
8.4.3  代理狀態檢測  189
8.4.4  USB調試狀態檢測  190
8.4.5  充電狀態檢測  191
第9章  異常用戶識別  192
9.1  位置篡改識別  192
9.2  設備篡改識別  193
9.3  注冊異常識別  194
9.4  登錄異常識別  197
9.5  協議破解識別  198
9.6  批量控制識別  199
第10章  隱私合規  202
10.1  應用上架合規  202
10.1.1  軟件著作權申請  202
10.1.2  ICP備案/ICP許可證  204
10.1.3  App備案  206
10.1.4  安全評估  208
10.1.5  CCRC認證  211
10.1.6  算法備案  217
10.2  合規實踐指南  217
10.2.1  隱私政策  217
10.2.2  權限申請  220
10.2.3  個人信息收集  221
10.2.4  “雙清單”與權限說明  223
10.2.5  個性化推薦與定向推送  226
10.2.6  自啟動與關聯啟動  227
10.2.7  廣告展示  229
10.3  違規整改規範  231
10.3.1  工信部  231
10.3.2  省通信管理局  233
10.3.3  網信辦  236
10.3.4  教育部  238