第1章 Android安全问题
1.1 为什么要探讨Android
1.1.1 反编译APK文件
1.1.2 ART
1.2 Android安全性指南
1.2.1 PCI移动支付受理安全指南
1.2.2 Google Security
1.2.3 HIPAA Secure
1.2.4 OWASP移动风险Top 10
1.2.5 Forrester Research发布的在移动应用开发中非技术性安全问题的Top 10
1.3 提升设备的安全
1.4 小结
第2章 保护你的代码
2.1 分析class.dex文件
2.2 混淆的ZUI佳实践
2.2.1 未混淆过的代码
2.2.2 ProGuard
2.2.3 DexGuard
2.2.4 晦涩带来的安全性
2.2.5 测试
2.3 Smali
2.3.1 Helloworld
2.3.2 移除应用商店检查
2.4 在NDK中隐藏业务规则
2.5 小结
第3章 安全验证
3.1 安全登录
3.2 用户验证以及账户校验的ZUI佳实践
3.2.1第一步
3.2.2第二步
3.2.3第三步
3.2.4第四步
3.3 使用LVL给应用授权
3.4 OAuth
3.4.1 使用Facebook的OAuth
3.4.2 网页和移动端Session管理
3.4.3 易受攻击
3.5 用户行为
3.6 小结
第4章 网络通信
4.1 HTTP(S)连接
4.2 对称性密钥
4.3 非对称性密钥
4.4 无效的SSL
4.4.1 中间人攻击示例
4.4.2 Root你的手机
4.4.3 Charles Proxy测试
4.5 小结
第5章 Android数据库
5.1 Android数据库安全问题
5.2 SQLite
5.2.1 使用adb备份数据库
5.2.2 阻止备份
5.3 SQLCipher
5.4 隐藏密钥
5.4.1 每一次都请求数据库的密钥
5.4.2 在Shared Preferences中隐藏密钥
5.4.3 在代码中隐藏密钥
5.4.4 在NDK中隐藏密钥
5.4.5 使用Web Service保护密钥
5.5 SQL注入
5.6 小结
第6章 Web服务器攻击剖析
6.1 Web Service
6.1.1 OWASP Web Service笔记
6.1.2 重放攻击
6.2 跨平台应用
6.3 WebView攻击剖析
6.3.1 SQL注入
6.3.2 XSS跨站脚本
6.4 云端攻击剖析
6.4.1 OWASP Web Top 10风险
6.4.2 OWASP Cloud Top 10风险
6.4.3 HIPAA Web服务器规范
6.5 小结
第7章 第三方库整合
7.1 转移风险
7.2 权限
7.3 安装第三方应用
7.3.1 安装Crittercism
7.3.2 安装Crashlytics
7.4 信任第三方库但需验证
7.4.1 反编译SDK进行检查
7.4.2 使用中间人攻击进行检查
7.5 小结
第8章 设备安全
8.1 擦除设备数据
8.2 设备碎片化问题
8.2.1 adb备份
8.2.2 日志
8.3 设备加密
8.4 SEAndroid
8.5 FIPS 140-2
8.6 移动设备管理
8.7 小结
第9章 展望未来
9.1 更复杂的攻击手段
9.2 物联网
9.2.1 Android可穿戴设备
9.2.2 Ford Sync AppID
9.3 按规范审视代码
9.4 工具
9.5 OWASP移动风险Top 10
9.6 Lint
9.7 小结
展开
