一.安全测试基本分类: 1.系统安全 系统加固 安全加固:比如linux中关闭telnet端口,修改ssh端口 检测一些不必要的服务(需要卸载一个ping)--保证系统的最小集 app安全加固:加一层外壳 补丁 消息中间件:activityMQ,rabbitMQ,safMQ(关闭页面,非业务端口,默认用户) 防火墙规则(iptables) 防病毒 2.应用安全(安装包,服务,业务)----用户(人和服务)口令.敏感信息 (1)黑白名单(IP:port)----访问控制 (2)消息层面:数据加密和…

在Android开发过程中,Android API 已经有了startService方式,为什么还需要bindService呢? 答:是因为bindService可以实现Activity-->Service里面的方法并返回数据给Activity,可以理解 在自身APP过程中Service与Activity进行通讯(本地服务) bindService还可以实现另外强大的功能,需要结合AIDL,实现跨进程Service与Activity进行通讯(远程服务) 定义接口扩展,增强版Binder: pac…

安全爱好者研究的往往是app的本地安全,比如远控.应用破解.信息窃取等等,大多人还没有关注到app服务端的安全问题,于是在这块的安全漏洞非常多. 移动app大多通过web api服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起.移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入.文件上传.中间件/server漏洞等,但是由于部分app不是直接嵌入网页在app中,而是使用的api接口返回josn数据,导致扫描器爬虫无…

移动测试. Android测试 .APP测试 Android篇 1. 性能测试 Android性能测试分为两类:1.一类为rom版本(系统)的性能测试2.一类为应用app的性能测试 Android的app性能测试包括的测试项比如:1.资源消耗2.内存泄露3.电量功耗4.耗时5.网络流量消耗6.移动终端相关资源利用率7.帧率8.渲染等等.... 工具:(工具的原理都是基于调用android底层的一些api来获取到测试所用到的值)GT等 测试方法:1.设计场景 :手工或自动化场景2.获取数据:可获取…

移动测试. Android测试 .APP测试   Android篇 1. 性能测试 Android性能测试分为两类:1.一类为rom版本(系统)的性能测试2.一类为应用app的性能测试 Android的app性能测试包括的测试项比如:1.资源消耗2.内存泄露3.电量功耗4.耗时5.网络流量消耗6.移动终端相关资源利用率7.帧率8.渲染等等.... 工具:(工具的原理都是基于调用android底层的一些api来获取到测试所用到的值)GT等 测试方法:1.设计场景 :手工或自动化场景2.获取数据:可…

前天同事问我公司内部的小程序怎么对接的,我回忆了一下,简单记录了一下前端同学需要注意的点. 背后还有小程序架构.网络策略等等.当时恰逢小程序架构调整,(老架构的时候我就发现了有一个问题点可以优化,但是跟那边人反馈之后,人家表示不要我管,新架构时发现这个问题还巧妙的遗留下来了)我虽然不负责那块,但是本着这样不优雅的原则,还是跟新架构的对接人讲了我的优化方案,讲明白了之后,同时上报各自直系领导,并建议我领导牵头开会推动.最后,无奈存量数据太多,老架构那边权衡之后决定不改动.(多说了几句,权当记录一下…

支付宝APP支付服务端详解 前面接了微信支付,相比微信支付,支付宝APP支付提供了支付分装类,下面将实现支付宝APP支付.订单查询.支付结果异步通知.APP支付申请参数说明,以及服务端返回APP端发起支付的签名.商户私钥.支付宝公钥的配置使用等. 支付注意事项 1.APP支付不能在沙箱测试.只能申请上线测试 2.需要创建RSA密钥设置文档,设置后上传rsa_public_key.pem[开发者公钥,上传时需要去掉公钥的头和尾]上传成功后换取支付宝公钥,为项目的alipay_public_key.…

Service是在一段不定的时间运行在后台,不和用户交互应用组件.每个Service必须在manifest中 通过来声明.可以通过contect.startservice和contect.bindserverice来启动. Service和其他的应用组件一样,运行在进程的主线程中.这就是说如果service需要很多耗时或者阻塞的操作,需要在其子线程中实现. service的两种模式(startService()/bindService()不是完全分离的): 本地服务 Local Service…

高并发经常会发生在有大活跃用户量来访问网站的某个点,例如用户高聚集的业务场景中,如:抢购,促销等.为了让用户流畅的访问网站,来根据自己的业务设计适合系统的处理方案. //对于APP网站首页数据,通常是有APP请求服务端数据在本机进行绘制.APP越少的请求服务端的,就会减少服务器压力:资源和带宽. 1.服务端给APP下发的数据越少,减少无用字段的下发.就是APP需要什么,服务端下发什么. 2.APP每次请求服务端数据,服务端下发最新数据和数据版本号,APP可以缓存到本地,每次接口请求数据的时候,上…

前言 对于开发者来说,三方 SDK 这个词已经是一个不需要任何解释的词语了,然而我想面对琳琅满目的 SDK 产品,大家都会纠结如何选择.那么选择一个 SDK 需要注意哪些问题呢? SDK 的 稳定易用 需要 持续更新功能 BUG 修复 效率高 开公司不像开玩笑(说倒闭就倒闭了) 售后 Kill 问题的能力 与自身 需求的契合度等等... 最后,还有一个选择点让人容易忽略 各个 SDK 的统一性 也就是在其功能相对 OK 的情况下,尽量使用同一厂商提供的 SDK . 为什么这样说? 我想每个开发者…