源码安全检测工具:Fortify
Fortify Source Code Analysis Suite是目前在全球使用最为广泛的软件源代码安全扫描,分析和软件安全风险管理软件。
注意事项
- APP回退后台提示,建议在APP退出后台时给用户风险提示,以防用户敏感信息被盗
- Activity防止劫持
- HTTPS证书验证(防抓包,防止中间人攻击)
- root检测,可使用逍遥模拟器
- 密码摘要使用SHA256,禁用MD5
- 反射优化,禁用
Field.setAccessible(true) - 关键页面防止截屏
- 应用程序不允许备份:建议将
android:AllowBackup属性设置为false - 禁用模拟器
- 防止二次打包:Native层进行验签
- 流关闭,使用
try-catch-finally或try-with-resources/try-with-statement - RSA秘钥长度:2048位
- 点击防重
