1.APP测试练手笔记（1）代码保护与应用配置
2.分享下电驴（eMule）的源码

APP测试练手笔记（1）代码保护与应用配置

       深入探讨移动应用安全测试的关键步骤与关注点，以确保用户的隐私与数据安全。当前，移动应用的普及使得我们的日常活动与之紧密相连，从约会到支付，一个应用往往承载着大量的html 源码白底图用户数据。因此，评估应用的安全性变得至关重要。本文旨在提供一个清晰的框架，指导如何在移动应用中进行安全测试，以识别潜在的安全漏洞并采取相应的预防措施。

       移动应用安全测试关注点包括敏感数据暴露、鉴权机制缺陷、钓鱼劫持风险、代码层面保护不足、应用配置错误、网游公司源码XcodeGhost病毒以及开发者证书不规范等问题。这些关注点构成了一个全面的安全测试流程，帮助开发者识别并修复潜在的安全隐患。

       ### 代码与应用配置方面的问题

       代码保护不足，可重新编译打包：通过使用ApkTool进行反编译，修改源代码，重新编译和签名，来测试应用的完整性。若发现可以注入恶意代码或绕过鉴权，应修改程序安装后 classes.dex 文件的 Hash 值，以判断软件是否被重新打包并进行提示。

       allowbackup权限数据泄露风险：检查AndroidManifest.xml文件中allowBackup属性是否设置为true，若存在，可能导致数据泄露。建议将android:allowBackup属性设置为false，团队php源码防止数据泄漏。

       Debuggable属性应用信息篡改泄露风险：检查Debuggable属性是否设置为true，允许设置断点控制程序执行。若开启，应关闭此属性以防止应用信息被篡改。

       信任所有证书漏洞：检查SDK是否存在安全问题，如直接选择信任所有证书，可能导致中间人攻击和劫持。应升级SDK或使用SSLSocketFactory.STRICT_HOSTNAME_VERIFIER进行验证。

       开发者证书规范测试：确保证书满足规范性要求，检查是否过期。使用JEB CA查看页面或java JDK自带的keytool工具进行验证。

       ### 应用配置错误

       关键页面钓鱼劫持风险：确保敏感界面如登录、支付等是否受到钓鱼劫持保护，如提示用户等。pansharp算法源码在关键类的onpause中实现钓鱼劫持防护功能。

       ### WebView漏洞

       WebView接口函数addJavascriptInterface可能导致本地JS与Java交互漏洞，需检查版本限制和过滤措施。对于Android 4.2及之后版本，使用@JavascriptInterface注解代替addjavascriptInterface。

       ### 不安全的本地存储

       检查Shared Preferences、SQLite数据库和SD卡目录，确保敏感数据经过加密处理，防止数据泄露。

       ### 边信道信息泄露

       通过日志文件分析，加密存储密码等敏感信息，并对敏感信息的缓存进行加密，防止通过边信道被攻击者利用。

       本文以诱导充钱的约炮APP为例，详细介绍了在代码保护与应用配置方面进行安全测试的laravel学习源码关键步骤与关注点。通过实施上述测试流程，可以有效识别并修复移动应用中的安全漏洞，增强应用的安全性和用户信任度。

分享下电驴（eMule）的源码

       这里分享一款资源分享与下载工具——电驴，实际上应该称为电骡，这是我维护的版本，eMuleVeryCD版本，VeryCD是一个不错的资源分享网站： verycd.com/。大约在年之前，中国市场流行的下载工具大约有三款：网际快车（flashget）、电驴（eMule）和迅雷，后来前两者都没落了。电驴的源码也开源了，迅雷抓住这个机会分析了电驴的下载协议（Kademlia），所以现在的迅雷也能解析电驴的下载协议，凡是能用电驴下载的链接，也能用迅雷下载。这是一些前尘往事吧。其实我蛮怀念那个时候的。

       先看下软件功能截图吧。

       编译方法：

       1.将rcdll.dll复制到Visual Studio 安装目录的VC\bin目录中。（这是为了使用能在vista下显示的图标）

       2. 用VS打开easyMule_Libs.sln，执行“生成解决方案”。（easyMule_Libs.sln里所包含的是easyMule所依赖的库文件。）

       3.用VS打开easyMule.sln编译即可。

       电驴服务器列表(eMule server list)： gruk.org/list.php ed2k://|server|...||/

       这个是我维护的easyMule版本，由于不断的修改，可能会离原来的版本越来越远。

       电驴的整个工程是mfc项目，里面使用的socket通信库是filezilla作者Tim Kosse在其开源项目filezilla中使用的CAsyncSocketEx，这是一个模仿mfc的CAsyncSocket类，但据说效率高于CAsyncSocket的类。

       代码特点

       电驴的代码虽然设计上不是最好的，但从代码风格和命名来说绝对是非常优良的，尤其是其变量、类名、函数等命名风格，真的是赏心悦目。而且其工程中的大多数类都可以直接拿来使用，比如/p-.h...

       代码获取地址

       链接: pan.baidu.com/s/RQcgq...

       提取码: fac3

       如果你编译或者调试有问题可以私信我。

       图书推荐

       电驴运行于 Windows 平台，使用 C++ 开发，如果你对 Windows C/C++ 编程感兴趣，我推荐两本书，一本书：

       1.《Windows 程序设计》

       这本书讲述了 Windows UI 相关原理的方方面面，且语言朴实、娓娓道来，犹如一位良师益友，我当初也是看这本书进入 Windows C/C++ 开发领域的；这本书的业界地位很高，可以说这本书是中国的老一代 Windows 程序员的启蒙和进阶读物。

       获取链接：

       链接: pan.baidu.com/s/1BCCYjg...

       提取码: g7py

       2. 《Windows 核心编程》

       这本书正好与上一本相互弥补，讲述的是 Windows 非 UI 部分的运行原理，内容非常丰富，当之“核心”二字无愧，图书的作者是编写 Windows Sysinternals 套件的 Jeffrey Richter，如果你没听说过 Windows Sysinternals 套件，那你一定听说过，Process Explorer：

       侯捷老师评价这本书是“搞 Windows 开发，需要两样资源，一是 MSDN，一本就是《Windows 核心编程》”，这本书口碑非常好，多次重印，每一版都有一些新的改动和惊喜。

       获取链接：

       链接: pan.baidu.com/s/1SH1b0G...

       提取码: wh

       图书资源收集于网络，如需要请购买正版，侵删。

       CppGuide

       我目前在大厂做架构，面试和指导千人成功找到满意的 C/C++ 岗位，在学习 C/C++ 开发的过程中踩过一个又一个坑，深知新手学习 C/C++ 的困难，因此特地给 C/C++ 开发的同学精心准备了一份优质学习资料————CppGuide，内容从 C/C++ 语言、网络编程、操作系统原理到完整的项目源码分析，同时这份资料也包括 C/C++ 学习方法、推荐的阅读书籍、简历指导和求职技巧等。

       Enjoy it！