wnagzihxa1n

wnagzihxa1n

iOS/Android Security

© 2021

大土豆安全笔记 2020.03.13

距离上次发安全周报已经过去了整整两个月

上班肯定还是要上班的,只是多了许多可以自由思考未来的时间,比如如何完善自己的知识体系?今年要学习哪些知识点?提高哪些能力?设置若干挑战?在现有的资源下通过新学习的知识去迭代一个技术等级?或者是通过设立一个技术等级目标来制定学习方向?

这些都不是说说的,长久以来我都欠缺企业级的开发能力,所以现在有空就会看字节,阿里这些厂商的安卓开发面试题,主要是想看看大厂的技术栈,确实学到了很多有趣的知识

二进制方面我开始关注逆向的原理,现在的逆向硬刚可不行了,不懂得更深层次的技术,容易抓瞎

基友们都知道我现在做的是安卓应用安全审计,但是我用过的工具并不多,常见也就是JEB,IDA,接下里要将安卓安全的知识面扩展的全面一些,业界的工具都要用一遍,好的思路借鉴学习,有工具的读源码,没有工具的参考思路实现一波

  • https://github.com/ashishb/android-security-awesome

许久之前提过的Jandroid,我借鉴了思路,在业余时间用Java重写了一遍,代码也不多其实,而且添加了很多新思路在里面,因为添加了很多其它功能,所以还没有完全写完,至于什么时候开源就另外再说了

  • https://github.com/FSecureLABS/Jandroid

说真的Neo4j盘起来真是优雅

下一版我会添加更专业一些的静态代码分析模块,去做更精确的漏洞分析辅助功能,一直以来都有相关开源的项目,而且社区很早就开始了相关的研究,比如Soot,Heros,FlowDroid

  • https://github.com/Sable/soot
  • https://github.com/Sable/heros
  • https://github.com/secure-software-engineering/FlowDroid

Flanker基于FlowDroid进行了二次开发,实现了一些安卓应用的常见漏洞扫描,我个人还是很喜欢这个项目的

  • https://github.com/flankerhqd/JAADAS

虽然这些是好多年前的工具,但是其设计思想,背后的原理都很值得我去仔细学习研究,知其然,也知其所以然,方可不断进步

前几天看泉哥发的一篇文章,讲的是如何读Paper,说来惭愧,我读Paper属于比较笨的那种,我一般只看Abstract,如果发现跟安卓有关以及排版看着很顺眼,我就会直接打印出来,数字这一波免费打印的福利还是可以的,在纸上写写画画确实比在电脑上要有趣的多,就是时间一长容易占地方,泉哥那篇文章里还提到了一篇《How to Read a Paper》,还挺有趣

  • http://blizzard.cs.uwaterloo.ca/keshav/home/Papers/data/07/paper-reading.pdf

我一直以来都有在安全周报里提我看的一些Paper,有些Paper确实不错,今年除了跟进学习新鲜的Paper之外,还会把往年移动安全相关的Paper翻出来读一读,也是扩展思路,顺便跟大佬们交交朋友

曾经我由于词汇量不够,读Paper特别慢,我就想了一个方法,用Python解析了Paper里的单词,过滤掉符号等字符,提取出单词,再过滤掉常用的,通过接口去有道做翻译查询,生成一个列表,打印Paper的时候顺手就打印出来,先过一遍单词,然后再看Paper,这样既可以学习单词,读Paper的体验也提升了不少

最后附一个大佬的博客截图,看的我有点脸红,我实在是太菜了

IMAGE