距离上次发安全周报已经过去了整整两个月
上班肯定还是要上班的,只是多了许多可以自由思考未来的时间,比如如何完善自己的知识体系?今年要学习哪些知识点?提高哪些能力?设置若干挑战?在现有的资源下通过新学习的知识去迭代一个技术等级?或者是通过设立一个技术等级目标来制定学习方向?
这些都不是说说的,长久以来我都欠缺企业级的开发能力,所以现在有空就会看字节,阿里这些厂商的安卓开发面试题,主要是想看看大厂的技术栈,确实学到了很多有趣的知识
二进制方面我开始关注逆向的原理,现在的逆向硬刚可不行了,不懂得更深层次的技术,容易抓瞎
基友们都知道我现在做的是安卓应用安全审计,但是我用过的工具并不多,常见也就是JEB,IDA,接下里要将安卓安全的知识面扩展的全面一些,业界的工具都要用一遍,好的思路借鉴学习,有工具的读源码,没有工具的参考思路实现一波
- https://github.com/ashishb/android-security-awesome
许久之前提过的Jandroid,我借鉴了思路,在业余时间用Java重写了一遍,代码也不多其实,而且添加了很多新思路在里面,因为添加了很多其它功能,所以还没有完全写完,至于什么时候开源就另外再说了
- https://github.com/FSecureLABS/Jandroid
说真的Neo4j盘起来真是优雅
下一版我会添加更专业一些的静态代码分析模块,去做更精确的漏洞分析辅助功能,一直以来都有相关开源的项目,而且社区很早就开始了相关的研究,比如Soot,Heros,FlowDroid
- https://github.com/Sable/soot
- https://github.com/Sable/heros
- https://github.com/secure-software-engineering/FlowDroid
Flanker基于FlowDroid进行了二次开发,实现了一些安卓应用的常见漏洞扫描,我个人还是很喜欢这个项目的
- https://github.com/flankerhqd/JAADAS
虽然这些是好多年前的工具,但是其设计思想,背后的原理都很值得我去仔细学习研究,知其然,也知其所以然,方可不断进步
前几天看泉哥发的一篇文章,讲的是如何读Paper,说来惭愧,我读Paper属于比较笨的那种,我一般只看Abstract,如果发现跟安卓有关以及排版看着很顺眼,我就会直接打印出来,数字这一波免费打印的福利还是可以的,在纸上写写画画确实比在电脑上要有趣的多,就是时间一长容易占地方,泉哥那篇文章里还提到了一篇《How to Read a Paper》,还挺有趣
- http://blizzard.cs.uwaterloo.ca/keshav/home/Papers/data/07/paper-reading.pdf
最后附一个大佬的博客截图,看的我有点脸红,我实在是太菜了