记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Android应用代码安全之新浪微博HD

2013-09-13 15:00

前两天逛微博看到有人拿那些未知或叫他"只有他"自个儿知道的漏洞去压着厂商说事儿。个人觉得这么做已脱离了白帽子的本质。或许也有个人道德问题吧(该段儿与新浪无关哈)。

新浪估计把这个给漏掉了。

classes.dex 是应用程序编译后的java文件,其中包含了所有activity编译后的code。我们可以通过反编译这个文件从而获取该应用源码(说明下如果在没有经过代码混淆或加固的情况下源码相似度98%)。

其实很简单,相信很多童鞋看到这标题就已经心知肚明了(为了顺利通过审核我就多唠叨下)。

所需工具 dex2jar 和 JD GUI,在win下的童鞋点这里
http://t.cn/zQJBedo  (41wb)

步骤

1、apk文件后缀改为rar,解压获取classes.dex文件;

2、将classes.dex放于dex2jar文件目录,然后使用dex2jar.bat反编译。

3、所得的Jar文件用JD GUI打开。
 


打开后看到没有丝毫代码混淆加固的迹象(随手又试了两个新浪的app,结果是否定的。估计把这个给漏掉了)。考虑到机密问题这里细节图就只上一张了。


 

修复方案:


虽不能完全避免反编译来的伤害,但基本的代码混淆还是要的,毕竟google老早已给咱们预留好这功能了,照着weibo app来吧。

如有好的解决方案,欢迎交流

知识来源: www.2cto.com/Article/201309/243472.html

阅读:87850 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“Android应用代码安全之新浪微博HD”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云