近期APP需要上线,但是需要申请一些资质。作为一名技术人员是真的不懂这些啊,老板要什么就给什么喽,一顿打包之后就交给了测试平台。
静等两天,测试平台给了一分测试报告,并要求修改其中的高危漏洞。
1.WebView 远程代码执行
2.程序反编译
3.Activity 劫持
4.动态调试检测
5.SO 注入检测
WechatIMG2.jpeg
乍一看,我擦嘞,我的APP有这么多漏洞吗,可是这些东西我也不会啊。只能去问度娘了,度娘还是那个度娘啊,找出来全是各大加固平台的广告,点进去试了一下,发现加固平台又分免费版和企业版。抱着试一试的心态(其实就是懒的再去找了),用360加固出了一个APK再次丢给了测试平台。
静等2天,又是一份报告:
WechatIMG3.jpeg
没错,只有两个高危漏洞了,看来加固是有用的。于是想申请一个企业版看看,无奈倒在了价格上面,各大平台都是按时间来收费的,基本都是8W每年每个APP,这个价格让我一个十八线小程序员怎么吃得消啊。
只能继续度娘了,但是百度这方面的经验的人确实很少,好在最好还是解决了。
WechatIMG4.jpeg
解决方案 :通过ptrace方式判断 。如果进程被附加处于调试状态,则/etc/$(procID)/status中进行procid的判断,如果进程id不为零则直接杀死本进程退出。如果进程被附加处于调试状态,则/etc/self/status中对TracerPid后面的进程ID进行判断,如果进程id不为零则直接杀死本进程退出。
总结,上面这个方案其实是用来解决动态调试的问题的,但是我用了这个方案之后,检测平台给的报告是两个高危漏洞都没有了,非常的nice。
网友评论