介绍了如何反编译APP并在源码中寻找隐藏的URL，API接口等资产信息，以及如何通过Burp Suite知名渗透测试套件抓包对APP的服务端进行漏洞检测 现在已进入移动互联网时代，吃喝玩乐、办公支付等等各种应用都在抢占移动APP市场，由于安全无处不在的本质，在多年前就已经有少数人在研究移动APP的中木马、钓鱼等等，但很少有人想到移动APP安全跟WEB安全的关系，目前移动APP大多都有跟远程服务器交互，而且基本都是以WEB API服务的方式，这使得移动APP安全跟WEB安全绑的非常紧。但往往很多漏洞都发生在这些API接口上，再加上目前这块不是很受关注，导致大多数移动APP都没有在这块架设一些CDN、WAF、IPS等设备，使得存在漏洞的API接口完全裸露在互联网中。 本次我将分享： 1、移动APP市场安全现状 2、安卓APP的反编译及漏洞挖掘 3、利用移动APP渗透的各种“猥琐”思路 4、自动化移动APP安全漏洞挖掘的程序实现

mobile APP主要威胁 IPA破解 IAP解锁（in-apple-purchase) 存档修改 内存修改 封包修改 越狱检测绕过 patch mach-o executable mobile APP安全管理流程

PXN是“Privileged Execute-Never”的简写，是一种漏洞利用缓解措施，它能阻止用户空间shellcode以特权态执行，使漏洞利用变得更加困难。 本次议题将介绍一种通用的绕过PXN的技术，有别于传统rop/jop技术，此技术不需要寻找，构造rop链，而是利用内核中现有的功能模块，通用性好，可用于几乎所有的Android手机。 本次议题还将利用一个IceSword Lab报给Google的高通驱动漏洞，来展示如何绕过PXN来root一款Android手机。

移动安全测试工具

RSAC2020 人为因素对CyberSecurity的影响 人为因素威胁与移动业务场景 更安全、更便捷的IAM 移动端安全接入 API安全控制 移动端安全容器 GDPR和隐私保护 中国移动互联网的个人隐私保护 移动应用开发供应链安全控制 总结

iOS URL Scheme 造成系统层面的漏洞 造成上层APP的漏洞

移动开发与安全新趋势 移动应用生态安全 物联网与移动安全 移动生态安全总结与展望

画像从互联网到安全 安全画像构建 画像的AVL insight实践 面向现场分析的画像实践

移动用户面对各种安全威胁 恶意应用数量快速增长，移动安全威胁持续增加 华为网络安全保障体系-公司最高战略 安全工程质量-CSCA网络安全能力评估（SDL） 安全评估方法 – 世界首创可视化网络安全验证报告 移动安全核心技术研究与开发 芯端云协同 – 华为移动安全解决方案 华为多层次金融级移动安全防护体系 云侧安全- 华为应用市场打造“中国的苹果” 芯片安全 –全球首颗集成到SOC的金融级安全芯片 端侧安全 – 安全保障和安全特性在安卓业界领先 应急响应与生态建设 AI智慧手机时代，华为公司愿与大家携手共赢

目录 • 国内安卓系统安全特性 • 安卓系统上漏洞扫描的原理和细节 • 真实的安卓系统安全生态 • 总结