Android應(yīng)用程序安全

定　價(jià)：￥59.00

作　者：	Sheran Gunasekera（謝蘭.古納塞克若）著，王文君，董歡歡譯
出版社：	電子工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	計(jì)算機(jī)與互聯(lián)網(wǎng) 網(wǎng)絡(luò)與通信

購(gòu)買這本書可以去

ISBN：	9787121213830	出版時(shí)間：	2013-10-01	包裝：	平裝
開本：	16開	頁(yè)數(shù)：	270	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　《Android應(yīng)用程序安全》是一本系統(tǒng)講解Android應(yīng)用開發(fā)安全的書籍。它首先介紹了Android系統(tǒng)的架構(gòu)和安全機(jī)制，然后詳細(xì)說明了Android應(yīng)用中存在的安全風(fēng)險(xiǎn)，并提出如何實(shí)現(xiàn)相應(yīng)的安全控制以保護(hù)用戶的私密信息。同時(shí)，本書還深入講解了數(shù)據(jù)加密、認(rèn)證技術(shù)以及企業(yè)級(jí)安全等概念。通過本書的介紹，希望讀者能夠了解如何鑒別哪些是敏感數(shù)據(jù)、如何使用AndroidAPI保證數(shù)據(jù)的機(jī)密性和完整性、如何構(gòu)建企業(yè)級(jí)安全的應(yīng)用以及如何實(shí)現(xiàn)客戶/服務(wù)端應(yīng)用之間數(shù)據(jù)管理與傳輸?shù)陌踩缘取！禔ndroid應(yīng)用程序安全》適用于Android應(yīng)用開發(fā)人員、設(shè)計(jì)人員、測(cè)試人員、架構(gòu)師、項(xiàng)目經(jīng)理、安全咨詢顧問等，是一本實(shí)用的講解Android應(yīng)用安全的教材和使用手冊(cè)。

作者簡(jiǎn)介

　　Sheran Gunasekera，是一名擁有13年信息安全經(jīng)驗(yàn)的安全研究人員和軟件開發(fā)者。他是ZenConsult Pte.公司的研發(fā)主管，負(fù)責(zé)個(gè)人計(jì)算機(jī)和移動(dòng)設(shè)備平臺(tái)的安全研究。Sheran一直積極致力于BlackBerry和移動(dòng)Java的研究，并且是揭露首個(gè)企業(yè)認(rèn)可的惡意應(yīng)用內(nèi)部工作原理的白皮書的作者，這些惡意軟件被部署在阿聯(lián)酋電信運(yùn)營(yíng)商簽約用戶的移動(dòng)設(shè)備上。他曾在中東、歐洲和亞太地區(qū)的安全會(huì)議上發(fā)表演講，提供有關(guān)針對(duì)移動(dòng)設(shè)備的惡意軟件分析，以及針對(duì)Web和移動(dòng)設(shè)備的安全軟件開發(fā)的培訓(xùn)。他還在其有關(guān)安全的博客上撰寫并發(fā)表文章（http：//chirashi.zenconsult.net）。Michael Thomas，擁有超過20年的軟件開發(fā)的經(jīng)驗(yàn)，其間做過獨(dú)立開發(fā)者、團(tuán)隊(duì)負(fù)責(zé)人、項(xiàng)目經(jīng)理和工程副總裁。Michael擁有超過10年的移動(dòng)設(shè)備相關(guān)的工作經(jīng)驗(yàn)。他目前的工作重點(diǎn)是在醫(yī)療領(lǐng)域中通過使用移動(dòng)設(shè)備加速患者和醫(yī)療服務(wù)提供者之間的信息傳輸。王文君，現(xiàn)就職于惠普軟件上海研發(fā)中心，擔(dān)任多個(gè)產(chǎn)品的安全架構(gòu)師和安全講師。現(xiàn)為OWASP上海區(qū)負(fù)責(zé)人之一，作為演講嘉賓參加過2011年OWASP亞洲峰會(huì)以及2012年OWASP中國(guó)峰會(huì)，并且是CWASP認(rèn)證專家組成員，同時(shí)也是2013年出版的《Web應(yīng)用安全威脅與防治——基于OWASP Top 10與ESAPI》作者之一，擁有CISSP、 PMP、 ITIL等認(rèn)證。王文君于2002年畢業(yè)于上海交通大學(xué)，擁有電氣工程碩士學(xué)位和電氣工程/涉外會(huì)計(jì)雙學(xué)士學(xué)位。董歡歡，畢業(yè)于上海復(fù)旦大學(xué)，擁有計(jì)算機(jī)信息技術(shù)管理學(xué)士學(xué)位?，F(xiàn)就職于惠普軟件上海研發(fā)中心，擔(dān)任研發(fā)工程師。擁有7年的軟件研發(fā)經(jīng)驗(yàn)，在移動(dòng)開發(fā)和設(shè)計(jì)方面有著豐富的經(jīng)驗(yàn)。2009年至今，從事Android應(yīng)用程序設(shè)計(jì)和開發(fā)，對(duì)Android有較深刻的理解，開發(fā)有AltiGen MaxMobile Communicator、SkyDrive Assistant等Android應(yīng)用。

圖書目錄

第1章　Android架構(gòu) 1
1.1　Android架構(gòu)的組件 3
1.1.1　內(nèi)核 4
1.1.2　類庫(kù) 5
1.1.3　Dalvik虛擬機(jī) 5
1.1.4　應(yīng)用程序框架 6
1.1.5　應(yīng)用程序 8
1.2　這本書是關(guān)于什么的 9
1.3　安全 9
1.3.1　保護(hù)用戶 10
1.3.2　安全風(fēng)險(xiǎn) 10
1.4　Android安全架構(gòu) 12
1.4.1　特權(quán)分離 12
1.4.2　權(quán)限 13
1.4.3　應(yīng)用程序代碼簽名 14
1.5　總結(jié) 14
第2章　信息：應(yīng)用的基礎(chǔ) 16
2.1　保護(hù)你的應(yīng)用免受攻擊 17
2.1.1　間接攻擊 17
2.1.2　直接攻擊 19
2.2　項(xiàng)目1：“Proxim”和數(shù)據(jù)存儲(chǔ) 19
2.3　信息分類 27
2.3.1　什么是個(gè)人信息 29
2.3.2　什么是敏感信息 29
2.4　代碼分析 29
2.4.1　實(shí)施加密 30
2.4.2　加密結(jié)果 32
2.5　重構(gòu)項(xiàng)目1 33
2.6　練習(xí) 35
2.7　總結(jié) 36
第3章　Android安全架構(gòu) 37
3.1　重溫系統(tǒng)架構(gòu) 38
3.2　理解權(quán)限架構(gòu) 40
3.2.1　Content Provider 41
3.2.2　Intent 46
3.3　權(quán)限檢查 47
3.3.1　使用自定義權(quán)限 48
3.3.2　保護(hù)級(jí)別 49
3.3.3　自定義權(quán)限的示例代碼 50
3.4　總結(jié) 53
第4章　動(dòng)手實(shí)踐（第一部分） 55
4.1　Proxim應(yīng)用 56
4.2　總結(jié) 64
第5章　數(shù)據(jù)存儲(chǔ)和密碼學(xué) 65
5.1　公鑰基礎(chǔ)設(shè)施（PKI） 67
5.2　密碼學(xué)中用到的術(shù)語 70
5.3 手機(jī)應(yīng)用中的密碼學(xué) 71
5.3.1　對(duì)稱加密算法 72
5.3.2　密鑰生成 73
5.3.3　數(shù)據(jù)填充 74
5.3.4　分組密碼的幾種模式 75
5.4　Android系統(tǒng)中的數(shù)據(jù)存儲(chǔ) 80
5.4.1　用戶數(shù)據(jù)共享 81
5.4.2　內(nèi)部存儲(chǔ) 84
5.4.3　SQLite數(shù)據(jù)庫(kù) 87
5.5　加密的數(shù)據(jù)存儲(chǔ) 93
5.6　總結(jié) 101
第6章　對(duì)話Web應(yīng)用 103
6.1　搭建環(huán)境 105
6.2　HTML、Web應(yīng)用和Web服務(wù) 113
6.2.1 Web應(yīng)用的組成 115
6.2.2　Web應(yīng)用用到的技術(shù) 117
6.3 OWASP與Web攻擊 124
6.4　認(rèn)證技術(shù) 126
6.4.1　自簽名證書 131
6.4.2　中間人攻擊 132
6.4.3　OAuth 134
6.4.4　加密的挑戰(zhàn)/應(yīng)答 143
6.5　總結(jié) 143
第7章　企業(yè)級(jí)應(yīng)用開發(fā)安全 144
7.1　安全的連接 145
7.2　企業(yè)應(yīng)用程序 147
7.3　手機(jī)中間件 147
7.3.1 數(shù)據(jù)庫(kù)訪問 149
7.3.2 數(shù)據(jù)表示 155
7.4　總結(jié) 162
第8章　動(dòng)手實(shí)踐（第二部分） 163
8.1 OAuth 164
8.1.1 獲得令牌 165
8.1.2 處理授權(quán) 166
8.2　挑戰(zhàn)與應(yīng)答 178
8.3　總結(jié) 193
第9章　發(fā)布和出售你的應(yīng)用 194
9.1 開發(fā)人員注冊(cè) 195
9.2 你的應(yīng)用處在暴露中 197
9.2.1 可供下載的資源 198
9.2.2 逆向工程 202
9.3 應(yīng)該進(jìn)行許可驗(yàn)證嗎 208
9.4 Android許可驗(yàn)證庫(kù) 208
9.4.1 下載Google API Add-On 215
9.4.2 復(fù)制LVL文件至單獨(dú)目錄 217
9.4.3 導(dǎo)入LVL源文件作為一個(gè)Library項(xiàng)目 217
9.4.4 在應(yīng)用中構(gòu)建和引入LVL 222
9.5 許可策略 229
9.6 有效利用LVL 231
9.7 模糊處理 233
9.8 總結(jié) 236
第10章　惡意軟件和間諜軟件 238
10.1 惡意軟件的四個(gè)階段 240
10.1.1 感染 240
10.1.2 破壞 240
10.1.3 傳播 241
10.1.4 泄露 241
10.2 案例學(xué)習(xí)1：政府批準(zhǔn)的惡意軟件 241
10.2.1 感染 242
10.2.2 破壞 243
10.2.3 傳播 243
10.2.4 泄露 243
10.2.5 檢測(cè) 244
10.3 案例學(xué)習(xí)2: 零售惡意軟件——FlexiSPY 246
10.4 反取證 248
10.5 總結(jié) 250
附錄A　Android權(quán)限常量 252
附錄B　如何使用Apache Wink創(chuàng)建RESTful Web Services 262