已有4人关注此标签
java 的序列化和反序列化的问题
作者: code_xzh
896人浏览
引言 将 Java 对象序列化为二进制文件的 Java 序列化技术是 Java 系列技术中一个较为重要的技术点,在大部分情况下,开发人员只需要了解被序列化的类需要实现 Serializable 接口,使用 ObjectInputStream 和 ObjectOutputStream 进行对象的读写。然而在有些情况下,光知道这些还远远不够,文章列举了笔者遇到的一些真实情境,它们与
DH密钥交换非对称加密
作者: code_xzh
909人浏览
迪菲-赫尔曼密钥交换(Diffie–Hellman key exchange,简称“D–H”) 是一种安全协议。 它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道建立起一个密钥。这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。 (1)、算法描述 离散对数的概念: 原根:如果a是素数p的一个原根,那么数值: amod
apktool动态破解apk
作者: code_xzh
2402人浏览
那么今天我们就用另外一种方式来破解apk:动态方式,关于动态方式其实很广义的,因为动态方式相对于静态方式来说,难度大一点,但是他比静态方式高效点,能够针对更过的破解范围。当然动态方式很多,所以这里就分为三篇文章来讲解这块: 1、动态方式破解apk前奏篇(Eclipse动态调试smail源码) 2、动态方式破解apk升级篇(IDA动态调试so源码) 3、动态方式破解ap
Android开发中的安全
作者: code_xzh
1291人浏览
根据Android四大框架来解说安全机制 代码安全 java不同于C/C++,java是解释性语言,存在代码被反编译的隐患; 默认混淆器为proguard,最新版本为4.7; proguard还可用来压缩、优化java字节码,删除无用的类、字段、方法、属性、注释等。 配置方法为在Android.mk中设置LOCAL_PROGUARD_FLAG_F
android开发之http协议
作者: code_xzh
1293人浏览
http协议学习系列 1. 基础概念篇 1.1 介绍 HTTP是Hyper Text Transfer Protocol(超文本传输协议)的缩写。它的发展是万维网协会(World Wide Web Consortium)和Internet工作小组IETF(Internet Engineering Task Force)合作的结果,(他们)最终发布了一系列的RFC,
用Fiddler在Android上抓包(Http+https)
作者: code_xzh
2211人浏览
Fiddler是一个HTTP协议调试代理工具,在开发网络应用的时候经常会用到,其最基本的作用是能抓HTTP的数据包,当然它还有更高级的用法,如添加断点、修改请求与相应的数据等等。。。 抓HTTP包 安装后配置端口:Tools->Fiddler Options->Connections->Fiddler listens on port: 8888(默认
iOS Code Signing: 解惑详解
作者: 浪途
1329人浏览
Iphone开发的代码签名 英文版链接: http://developer.apple.com/iphone/gettingstarted/docs/signingcodeforiphonedev.action 代码签名确保代码的真实以及明确识别代码的来源。在代码运行在一个开发系统以前,以及在代码提交到Apple发布以前,Apple要求所有的的应用
quick-cocos2d-x基于源码加密打包功能的更新策略
作者: 浪途
2109人浏览
Quick-cocos2d-x增加了编译及加密源代码的功能(具体可参考这篇文章)。以此功能为基础,我实现了一个版本更新模块,解决了自己项目中的版本更新需求。现抛砖引玉,与大家分享。 从基本原理和方案讲起比较枯燥,直接从介绍具体用法开始吧。 要能够在线更新文件,一个服务器是必须的。我目前实现的是用HTTP协议取文件,只需要有一个基本的web服务器,能通过类似http://&
基于JSPatch的iOS应用线上Bug的即时修复方案,附源码.
作者: 浪途
1043人浏览
限于iOS AppStore的审核机制,一些新的功能的添加或者bug的修复,想做些节日专属的活动等,几乎都是不太可能的.从已有的经验来看,也是有了一些比较常用的解决方案.本文先是会简单说明对比大部分方案,然后会注重阐述基于JSPatch的在线更新机制的设计和实现.对于任何一家有一定用户基础的iOS应用来说,在线更新技术所产生的直接和间接价值都将远远超过100W.理解,并掌握它;实在没有
代码签名探析
作者: 浪途
1015人浏览
"用户会感激代码签名带来的好处" – Apple Developer Library: 酷炫的动画效果,便捷地进行Core Data 将数据安全的存储在本地。但是总有一天,你会碰上代码签名 (code signing) 和配置文件 (provisioning),大多数情况下,这会是你在心里问候某些人祖宗的开始。 如果你已经在 iOS 上开发过应用,那么你多半已经与代码签名或设
iOS App 的逆向工程: Hacking on Lyft
作者: 浪途
1283人浏览
About the Speaker: Conrad Kramer 2010 年,Conrad Kramer 开发了他的第一个越狱 App Graviboard,从那以后便开始了他的 iOS 开发生涯。他做一些常规的 iOS 开发,同时也在 Cocoa 社区的多个开源项目上活跃,比如:AFOAuth2Client 和 WFNotificationCenter。 Co
iOS APP 逆向安全杂谈
作者: 浪途
1264人浏览
0x00 序 以前总是在这里看到各位大牛分享其安全渗透经验,而今我也很荣幸的收到了乌云的约稿,兴奋之情难以言表。由于IOS是一种闭源的操作系统,源码恐怕也只有几个人见过,其安全性究竟如何我们不得而知,突然想起一段话:恐惧来源于我们的无知。好在国内早有大牛团队—盘古团队总是走在世界的前沿给我们带来最新鲜的IOS安全详解,感谢沙梓社和吴航的《IOS应用逆向工程》让我对IOS逆向充满
keychain 专研
作者: 浪途
918人浏览
keychain 存储在 system/Device/var/keychains keychain里面的信息是跟随设备的, 存储在Device/var/keychains/路径下是一个数据库文件, 里面的内容已经被加密过了,只有手动删除,或者系统还原才会被清理掉, 越狱环境下可以自己写sql语句清除, 另外登录信息建议写在default里面,写在keychain里面对用户来说
手把手教你反编译别人的app
作者: 浪途
1176人浏览
虽然iOS系统相比于其他手机操作系统相对安全,但是这个安全并不是绝对的,我一直相信,道高一尺魔高一丈。此文想以实际例子出发,告诉大家,如何去反编译一个app,并且从某个角度来说,iOS没有传说中的“安全”。 这里只最简单的结论给大家,具体原理以及工具的详细使用,请各位自行Google,为什么这么做呢,因为我想用最简单的语言,让没有汇编基础的同学也能明白。 将用以下几个方面来阐述
防破解防刷,一小点
作者: 浪途
2124人浏览
1.应用代码混淆,可参考国外开发者写的方案https://github.com/Polidea/ios-class-guard,这个还有点bug,需要懂一些shell脚本。2.链接一定要采用https,而且绑定证书,用afnetworking非常方便。3.关键的传输数据要进行数字信封(随机数加时间戳),数字摘要(md5),不对称加密(rsa)综合加固。4.关键业务的js通过加密的方
保护App重要数据,防止Cycript/Runtime修改
作者: 浪途
1411人浏览
这一篇文章着重于保护重要数据不被攻击者使用Cycript或者Runtime修改,概要内容如下: 防止choose(类名) 禁忌,二重存在 自己的内存块 虚伪的setter/getter 加密内存数据 English version is here 以下内容均以此假想情况为基础: 我们有一个Per
揭秘315黑客wifi,如何保障APP数据安全
作者: 浪途
1700人浏览
315晚会上曝光WIFI安全,演示微信、邮箱当场被黑,隐私密码都被披露,风险无处不在。对用户来说,阿里移动安全已经支招:1,不接入无密码或无手机验证码的WiFi;2,手机不ROOT、不越狱;3,正规应用商店下载官网APP;4,不在陌生APP上提交个人重要信息;5,装一个安全软件,如阿里钱盾;6,养成健康、良好的上网习惯等。而对于开发者来说,怎样更好的设计移动App来防护W
架构师速成-架构目标之伸缩性\安全性
作者: 姬望
1108人浏览
为满足伸缩性,所需的架构模式包含: 分布式,这个前面有单独的章节进行了讲解,分布式是互联网时代的主旋律。 负载均衡,前面已经有讲解。 服务拆分,按照业务进行系统服务的拆分并单独部署。 为满足伸缩性,需要的支撑系统: 运维系统: 自动扩容,缩容 监控系统 监控流量,确定何时伸缩 为满足安全性,所需的架构模式包含: 数据加密,密码的加密存储
