app安全加固学习记录

加固保学习
加固前的原包请先用签名工具对该apk进行签名,再加固,并重新签名,保证加固前后都用签名工具签一次名。
注:加固后不签名则可能安装不了。

Q:如何查看应用的签名证书?
A:目录下找到名为META-INF的子文件夹,该子文件夹里包含后缀名分别为.RSA, .SF以及.MF的三个文件,其中.RSA文件即为签名证书文件。
Q:签名文件和密码在哪里查找?
A:需要找该应用的开发人员索取,一个扩展名为.jks或.keystore的文件。

加固目前360加固保只免费apk加固,ios加固收费。
上传前进行安全扫描下,目前加固保安全扫描只支持apk。

app上传逻辑(360加固保下载https://jiagu.360.cn/#/global/download):
开发商给包(带签名的)-我方360加固保加固-我方360加固保安全扫描(发现高危要求修改)-(无高危后)发给开发商重新签名-验证安装通过后发布官网。

目前加固app如下:
终端: 安卓 ios
乐赚: 智游网安(爱加密) com.cfzq.lezhuan 同安卓cn.com.cfzq.lezhuan.iphone 网金加固
聚财: 奇虎科技(360) com.hexin.plat.android.CaiFuSecurity 无cn.com.cfzq.iphone 网金加固
慧财:奇虎科技(360) com.caifuzq.dzh 无com.ZQ8623.ZQ8623iPhone 信息中心终端组加固
期权宝:奇虎科技(360) com.cfzq.ggqq 无com.cfzq.ggqq 信息中心终端组加固
期权神器:智游网安(爱加密) com.caifuzq.mhdcx 无 com.cfzq.optionartifact 开发商加固

不同加固厂商的安全检测可能不同。如爱加密和360上对财富慧财检测结果就有区别:爱加密检测无高危,但360检测出一个高危。
如app包含了很多sdk和h5,加安全检测出的漏洞可能是sdk的

相关推荐