Android安全攻防实战

Android安全攻防实战
分享
扫描下方二维码分享到微信
打开微信,点击右上角”+“,
使用”扫一扫“即可将网页分享到朋友圈。
作者: [南非] , [英] , ,
2015-07
版次: 1
ISBN: 9787121261077
定价: 79.00
装帧: 平装
开本: 16开
纸张: 轻型纸
页数: 320页
字数: 392千字
正文语种: 简体中文
71人买过
  •   Android是目前比较主流的移动设备操作系统,占据了全球近84%的市场份额。因此,Android系统中的安全问题也就变得十分重要。  本书通过大量极富针对性的实验,通过对常见的安全场景中解决方案的讲解,帮助读者全面掌握各种攻-防实用技能。因而,本书的实用性也很强,即使是一时不能完全理解其中的技术原理的新手,根据作者给出的方法,也能解决实践中遇到的大部分问题;而高手也能从中借鉴到一些好的做法。  全书共分九章,涵盖了基本的Android开发环境和工具;app组件之间及它们与系统的交互方式;Android安全评估框架“drozer”;app及Android原生代码的逆向技巧;各类漏洞的利用及防护方式;使用SSL在网络通信中进行更有效的验证;利用第三方代码库或Android中新增的特性,通过加密和在开发时使用设备管理策略,加固app等内容。  《Android安全攻防实战》寓教于练,可供安全技术研究人员,软件开发人员,电子取证人员学习使用,对于各类高等院校中网络安全相关专业的师生也有较高的参考价值。   崔孝晨,中国计算机法证协会会员,安全研究小组Team509的创始人之一。2009年因完成了对某僵尸网络的分析,找出其主要控制者,并由此破获了上海“2009.7.18“私车拍卖网站被DDOS攻击一案,而荣立个人二等功。 第1章 Android开发工具 1
    1.1 简介 1
    1.2 安装Android开发工具(ADT) 2
    1.3 安装Java开发包(JDK) 5
    1.4 更新API资源 9
    1.5 另一种安装ADT的方法 11
    1.6 安装原生开发包(Native Development Kit,NDK) 15
    1.7 虚拟Android设备 16
    1.8 使用命令行创建Android虚拟设备(AVD) 19
    1.9 使用Android调试桥(ADB)与AVD交互 21
    1.10 从AVD上复制出/复制入文件 22
    1.11 通过ADB在AVD中安装app 23
    第2章实践app安全 24
    2.1 简介 24
    2.2 检查app的证书和签名 24
    2.3 对Android app签名 33
    2.4 验证app的签名 37
    2.5 探索AndroidManifest.xml文件 37
    2.6 通过ADB与activity管理器交互 47
    2.7 通过ADB提取app里的资源 50
    第3章 Android安全评估工具 56
    3.1 简介 56
    3.2 制作Santoku启动盘和安装Santoku 58
    3.3 安装drozer 62
    3.4 运行一个drozer会话 71
    3.5 枚举已安装的包(package) 72
    3.6 枚举activity 78
    3.7 枚举content provider 80
    3.8 枚举service 83
    3.9 枚举broadcast receiver 85
    3.10 确定app的受攻击面(attack surface) 87
    3.11 运行activity 89
    3.12 编写drozer模块――一个驱动枚举模块 91
    3.13 编写一个app证书枚举器 94
    第4章利用app中的漏洞 98
    4.1 简介 98
    4.2 收集logcat泄露的信息 101
    4.3 检查网络流量 106
    4.4 通过activity manager被动嗅探intent 111
    4.5 攻击service 117
    4.6 攻击broadcast receiver 121
    4.7 枚举有漏洞的content provider 123
    4.8 从有漏洞的content provider中提取数据 126
    4.9 向content provider插入数据 129
    4.10 枚举有SQL-注入漏洞的content provider 131
    4.11 利用可调试的app 134
    4.12 对app做中间人攻击 139
    第5章保护app 146
    5.1 简介 146
    5.2 保护app的组件 147
    5.3 通过定制权限保护组件 149
    5.4 保护content provider的路径(path) 152
    5.5 防御SQL注入攻击 155
    5.6 验证app的签名(防篡改) 157
    5.7 通过检测安装程序、模拟器、调试标志位反逆向工程 161
    5.8 用ProGuad删除所有日志消息 164
    5.9 用GexGuard进行高级代码混淆 168
    第6章逆向app 173
    6.1 简介 173
    6.2 把Java源码编译成DEX文件 175
    6.3 解析DEX文件的格式 177
    6.4 解释Dalvik字节码 194
    6.5 把DEX反编译回Java 202
    6.6 反编译app的原生库 205
    6.7 使用GDB server调试Android进程 207
    第7章网络安全 211
    7.1 简介 211
    7.2 验证SSL自签名证书 212
    7.3 使用OnionKit库中的StrongTrustManager 221
    7.4 SSL pinning――限定受信SSL的范围 223
    第8章原生代码中漏洞的利用与分析 231
    8.1 简介 231
    8.2 检查文件的权限 232
    8.3 交叉编译原生可执行程序 241
    8.4 利用竞争条件引发的漏洞 249
    8.5 栈溢出漏洞的利用 254
    8.6 自动fuzzing测试Android原生代码 261
    第9章加密与在开发时使用设备管理策略 274
    9.1 简介 274
    9.2 使用加密库 275
    9.3 生成对称加密密钥 277
    9.4 保护SharedPreferences数据 281
    9.5 基于口令的加密 283
    9.6 用SQLCipher加密数据库 287
    9.7 Android KeyStore provider 290
    9.8 在开发时使用设备管理策略 293
  • 内容简介:
      Android是目前比较主流的移动设备操作系统,占据了全球近84%的市场份额。因此,Android系统中的安全问题也就变得十分重要。  本书通过大量极富针对性的实验,通过对常见的安全场景中解决方案的讲解,帮助读者全面掌握各种攻-防实用技能。因而,本书的实用性也很强,即使是一时不能完全理解其中的技术原理的新手,根据作者给出的方法,也能解决实践中遇到的大部分问题;而高手也能从中借鉴到一些好的做法。  全书共分九章,涵盖了基本的Android开发环境和工具;app组件之间及它们与系统的交互方式;Android安全评估框架“drozer”;app及Android原生代码的逆向技巧;各类漏洞的利用及防护方式;使用SSL在网络通信中进行更有效的验证;利用第三方代码库或Android中新增的特性,通过加密和在开发时使用设备管理策略,加固app等内容。  《Android安全攻防实战》寓教于练,可供安全技术研究人员,软件开发人员,电子取证人员学习使用,对于各类高等院校中网络安全相关专业的师生也有较高的参考价值。
  • 作者简介:
      崔孝晨,中国计算机法证协会会员,安全研究小组Team509的创始人之一。2009年因完成了对某僵尸网络的分析,找出其主要控制者,并由此破获了上海“2009.7.18“私车拍卖网站被DDOS攻击一案,而荣立个人二等功。
  • 目录:
    第1章 Android开发工具 1
    1.1 简介 1
    1.2 安装Android开发工具(ADT) 2
    1.3 安装Java开发包(JDK) 5
    1.4 更新API资源 9
    1.5 另一种安装ADT的方法 11
    1.6 安装原生开发包(Native Development Kit,NDK) 15
    1.7 虚拟Android设备 16
    1.8 使用命令行创建Android虚拟设备(AVD) 19
    1.9 使用Android调试桥(ADB)与AVD交互 21
    1.10 从AVD上复制出/复制入文件 22
    1.11 通过ADB在AVD中安装app 23
    第2章实践app安全 24
    2.1 简介 24
    2.2 检查app的证书和签名 24
    2.3 对Android app签名 33
    2.4 验证app的签名 37
    2.5 探索AndroidManifest.xml文件 37
    2.6 通过ADB与activity管理器交互 47
    2.7 通过ADB提取app里的资源 50
    第3章 Android安全评估工具 56
    3.1 简介 56
    3.2 制作Santoku启动盘和安装Santoku 58
    3.3 安装drozer 62
    3.4 运行一个drozer会话 71
    3.5 枚举已安装的包(package) 72
    3.6 枚举activity 78
    3.7 枚举content provider 80
    3.8 枚举service 83
    3.9 枚举broadcast receiver 85
    3.10 确定app的受攻击面(attack surface) 87
    3.11 运行activity 89
    3.12 编写drozer模块――一个驱动枚举模块 91
    3.13 编写一个app证书枚举器 94
    第4章利用app中的漏洞 98
    4.1 简介 98
    4.2 收集logcat泄露的信息 101
    4.3 检查网络流量 106
    4.4 通过activity manager被动嗅探intent 111
    4.5 攻击service 117
    4.6 攻击broadcast receiver 121
    4.7 枚举有漏洞的content provider 123
    4.8 从有漏洞的content provider中提取数据 126
    4.9 向content provider插入数据 129
    4.10 枚举有SQL-注入漏洞的content provider 131
    4.11 利用可调试的app 134
    4.12 对app做中间人攻击 139
    第5章保护app 146
    5.1 简介 146
    5.2 保护app的组件 147
    5.3 通过定制权限保护组件 149
    5.4 保护content provider的路径(path) 152
    5.5 防御SQL注入攻击 155
    5.6 验证app的签名(防篡改) 157
    5.7 通过检测安装程序、模拟器、调试标志位反逆向工程 161
    5.8 用ProGuad删除所有日志消息 164
    5.9 用GexGuard进行高级代码混淆 168
    第6章逆向app 173
    6.1 简介 173
    6.2 把Java源码编译成DEX文件 175
    6.3 解析DEX文件的格式 177
    6.4 解释Dalvik字节码 194
    6.5 把DEX反编译回Java 202
    6.6 反编译app的原生库 205
    6.7 使用GDB server调试Android进程 207
    第7章网络安全 211
    7.1 简介 211
    7.2 验证SSL自签名证书 212
    7.3 使用OnionKit库中的StrongTrustManager 221
    7.4 SSL pinning――限定受信SSL的范围 223
    第8章原生代码中漏洞的利用与分析 231
    8.1 简介 231
    8.2 检查文件的权限 232
    8.3 交叉编译原生可执行程序 241
    8.4 利用竞争条件引发的漏洞 249
    8.5 栈溢出漏洞的利用 254
    8.6 自动fuzzing测试Android原生代码 261
    第9章加密与在开发时使用设备管理策略 274
    9.1 简介 274
    9.2 使用加密库 275
    9.3 生成对称加密密钥 277
    9.4 保护SharedPreferences数据 281
    9.5 基于口令的加密 283
    9.6 用SQLCipher加密数据库 287
    9.7 Android KeyStore provider 290
    9.8 在开发时使用设备管理策略 293
查看详情
系列丛书 / 更多
Android安全攻防实战
python绝技:运用python成为顶级黑客:运用Python成为顶级黑客
[美]TJ O\\\'Connor(TJ 奥科罗) 著;崔孝晨、武晓音 译
Android安全攻防实战
Web前端黑客技术揭秘
钟晨鸣、徐少培 著
Android安全攻防实战
加密与解密
段钢 著
Android安全攻防实战
恶意代码分析实战
Michael(迈克尔.斯科尔斯基)、Andrew Honig(安德鲁.哈尼克) 著;诸葛建伟、姜辉、张光凯 译
Android安全攻防实战
漏洞战争:软件漏洞分析精要
林桠泉 著
Android安全攻防实战
数据恢复技术
戴士剑、涂彦辉 著
Android安全攻防实战
揭秘家用路由器0day漏洞挖掘技术
王炜、赵旭 著;吴少华 编
Android安全攻防实战
安全之路:Web渗透技术及实战案例解析
陈小兵 著
Android安全攻防实战
安全漏洞追踪
[美]盖弗、[美]詹弗瑞斯、[美]兰德 著;钟力、朱敏、何金勇 译
Android安全攻防实战
黑客大追踪:网络取证核心原理与实践
[美]Sherri(雪莉·大卫杜夫)、Jonathan Ham(乔纳森·汉姆) 著;崔孝晨、陆道宏 译
Android安全攻防实战
渗透测试实践指南:必知必会的工具与方法
[美]Patrick Engebretson 著;缪纶、只莹莹、蔡金栋 译
Android安全攻防实战
Metasploit渗透测试指南
David(戴维·肯尼)、Jim(吉姆·奥戈曼)、Devon(丹沃·卡恩斯)、Mati Aharoni(马蒂·艾哈尼) 著;诸葛建伟 译
您可能感兴趣 / 更多
Android安全攻防实战
夏日(诺奖得主库切自传三部曲)
[南非]J. M. 库切
Android安全攻防实战
伊丽莎白 科斯特洛 八堂课(诺贝尔文学奖库切的作家生活揭秘之作)
[南非]J.M.库切/著 北塔 译
Android安全攻防实战
多余人
[南非]达蒙·加尔格特 著;磨铁文化 出品
Android安全攻防实战
南非的贫困与不平等:诊断、预测与应对
[南非]英格丽德·伍拉德 编;[南非]克雷恩·苏迪恩;[南非]瓦苏·雷迪
Android安全攻防实战
先知及其他故事(以故事印刻非洲大陆的百年孤独,“非洲欧·亨利”、南非短篇小说大师博斯曼成名作,令诺奖得主奈保尔激赏不已的经典短篇)
[南非]赫尔曼·查尔斯·博斯曼
Android安全攻防实战
男孩(库切文集)
[南非]J.M.库切 著;方柏林 译
Android安全攻防实战
考古与艺术史译丛3: 洞穴中的心智
[南非]大卫·刘易斯-威廉斯 著;万山 译;汉唐阳光 出品
Android安全攻防实战
合作伙伴进行时:大学—中小学—社区
[南非]乔纳森·克拉克 编;[南非]帕蒂·西尔伯特;[南非]罗尚·加尔万
Android安全攻防实战
教育理论研究:教育想象力入门
[南非]韦恩·雨果 著
Android安全攻防实战
非洲新思想者-(文化是可持续发展的核心)
[南非]奥尔加·比亚洛斯托卡 编
Android安全攻防实战
凶年纪事(库切文集 )
[南非]J.M.库切 著;文敏 译
Android安全攻防实战
我爸爸是只八爪鱼
[南非]戴安娜·霍夫迈尔 文;[英]卡罗尔·汤姆森 图