应用程序安全风险 A1 – 注入 A2 –失效的身份认证和会话管理 A3 –跨站脚本（XSS） A4 - 不安全的直接对象引用 A5-安全配置错误 A6-敏感信息泄漏 A7 - 功能级访问控制缺失 A8 – 跨站请求伪造CSRF A9 - 使用已知含有漏洞的组件 A10-未验证的重定向和转发

议题简介： 从Android APP的脆弱性入手，分析恶意APP的工作原理和恶意行为，并针对相关脆弱点分析和总结了APP代码混淆与加壳、完整性校验、代码隐藏等保护措施，例如：通过自定义底层so文件结构、代码混淆、代码反调试、dex文件保护、多种校验方式等保护代码安全。

大纲 • 由应用安全说起 • 传统REST API安全测试 • 基于Swagger的REST API 的安全测试

对目前安卓应用加固技术经行了细致的案例代码分析，并总结了通用的脱壳方案 议题内容 1.加固脱壳意义 2.目前加固现状 3.某些加固分析 4.如何制作通用脱壳

APP分析的现状与工具 基于模拟器分析的不足之处 APP高级程序分析需求 基于真实环境的APP分析

它都干了些什么？1、自带Root模块，无法卸载；2、推送广告；3、静默安装应用。 幽灵推是这么干的：首先从云端获取root模块；替换系统文件，设置开机启动；释放文件，安装病毒体；执行前述的后续动作。 走遍世界也不容易，它如何遍布全球？答案就是：在这个移动移动互联网大时代，应用推广所引申出的灰色产业链。问题的根源便是逐利！ 邹义鹏最后总结道Ghost Push可能只是冰山一角，利益的驱使催生了灰色产业；而对于安全从业者而言，移动端安全问题仍是一个挑战，保护用户设备及信息，任重而道远。

CONTENTS 移动APP市场分析 移动APP安全现状 移动APP漏洞类型 移动APP漏洞案例 移动APP安全思考 Q&A

目录 应用载体 应用安全 线上业务 一些思路

今天的主题不是讲脱壳，而是跟大家分享我们在客户端上的另外事例，叫做安全增强。不管 APP 或者 IOT 还是移动设备上安全问题，老实讲 APP 或者一个端，在恐怖的环境里面保证 APP 的安全，这是我们要解决的。安全增强主要的目的就是解决这几个问题。大会上，讲师简要分享了几个安全增强的方案。

APK加固方案 APK加固过程 APK加固功能 APK加固价值支撑体系 APK加固保护体系 APK加固市场发展方向