开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Google Play Alert-使用不安全的hostnameVerifier实现的应用程序

是指在应用程序中使用了不安全的hostnameVerifier实现，可能存在安全风险的应用程序。

hostnameVerifier是用于验证SSL证书中的主机名的接口。在应用程序中，当与服务器建立SSL连接时，会使用hostnameVerifier来验证服务器的主机名是否与SSL证书中的主机名匹配。如果应用程序中使用了不安全的hostnameVerifier实现，可能会导致SSL连接被劫持或篡改，从而引发安全问题。

为了确保应用程序的安全性，开发人员应该使用安全的hostnameVerifier实现，以确保SSL连接的安全性。安全的hostnameVerifier实现应该验证SSL证书中的主机名与服务器的主机名是否完全匹配，以防止中间人攻击或恶意篡改。

在Google Play上，如果应用程序被发现使用了不安全的hostnameVerifier实现，Google会发出警告，并可能采取措施限制或移除该应用程序。

为了避免Google Play Alert-使用不安全的hostnameVerifier实现的应用程序，开发人员应该遵循以下最佳实践：

使用安全的hostnameVerifier实现：开发人员应该使用安全的hostnameVerifier实现，确保SSL连接的安全性。可以使用Android提供的默认实现或自定义实现。
验证SSL证书中的主机名：开发人员应该验证SSL证书中的主机名与服务器的主机名是否完全匹配，以防止中间人攻击或恶意篡改。
更新应用程序：如果已经发布的应用程序中存在不安全的hostnameVerifier实现，开发人员应该尽快更新应用程序，修复安全问题，并重新提交到Google Play。

腾讯云相关产品和产品介绍链接地址：

SSL证书：https://cloud.tencent.com/product/ssl
Web应用防火墙（WAF）：https://cloud.tencent.com/product/waf
安全加速（CDN）：https://cloud.tencent.com/product/cdn
云安全中心：https://cloud.tencent.com/product/ssc

相关搜索:Android应用程序向后兼容版本的google play服务API Google Play -新应用程序的内部测试 Google Play与应用程序相关的问题 Google Play和UTM中的Android应用程序下载流量 Google Play商店:编辑我的应用程序的一张图片 Google play在应用程序更新api中的可用性和使用 google play对我的android应用程序的负面回复 google play控制台中的应用程序签名页面 google play控制台和play商店中的不同应用程序大小 Google play显示发布的应用程序支持0台设备

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Android 渗透测试学习手册第七章不太知名的 Android 漏洞

在本章中，我们将了解一些不太知名的 Android 攻击向量，这在 Android 渗透测试中可能很有用。我们还将涵盖一些主题，如 Android 广告库中的漏洞和WebView实现中的漏洞。作为渗透测试者，本章将帮助你以更有效的方式审计 Android 应用程序，并发现一些不常见的缺陷。

01

Android应用程序使用代码签名证书的重要性

根据Statista 的数据显示，智能手机用户数量已超过65亿，预计到2025年将增长到 76 亿。在智能手机开发行业中安卓操作系统占主导地位。截至2022年8月，Android在移动操作系统中占据了70%的市场份额。

09

Android Https证书过期的解决方案

应该有很多小伙伴遇到这样一个问题，在线上已发布的app里，关于https的cer证书过期，从而导致app所有网络请求失效无法使用。

07

Android应用测试速查表

写在前面最近研究了下Android应用测试，找了一些资料，觉得OWASP这篇写的还是比较系统的，所以翻译出来给大家分享下。文中的翻译尽可能保持原文格式，但一些地方为了通顺和易于理解也做了一定改动，如

07

谷歌应用商店现木马程序、百万WiFi路由器面临漏洞风险｜12月6日全球网络安全热点

卡巴斯基恶意软件分析师称，已发现更多Google Play商店应用程序包含恶意软件，包括特洛伊木马程序。如果您将它们正确下载到手机上，最好立即将其删除。

01

保护您的 Android 手机的 10 种方法

Android 已经存在了近十年，与早期的 iPhone 时代相比已经有了很长的路要走。新功能、升级的拍照手机、种类繁多的应用程序和平台以及精美的界面设计带来了庞大的安装基础——每月有超过 20 亿台活跃设备——使其成为迄今为止世界上最大的移动操作系统。

01

安卓开发开发规范手册V1.0

之前发布过一份Web安全开发规范手册V1.0,看到收藏文章的读者挺多，发现整理这些文档还挺有意义。

00

为了避免内存攻击，美国国家安全局提倡Rust、C#、Go、Java、Ruby 和 Swift，但将 C 和 C++ 置于一边

本文翻译自两篇文章，第一篇是对美国国家安全局在“软件内存安全”网络安全信息表的解读，第二篇是普及什么是内存安全，为什么它很重要？

01

为了避免内存攻击，美国国家安全局提倡Rust、C#、Go、Java、Ruby 和 Swift，但将 C 和 C++ 置于一边

本文翻译自两篇文章，第一篇是对美国国家安全局在“软件内存安全”网络安全信息表的解读，第二篇是普及什么是内存安全，为什么它很重要？

03

大疆无人机控制应用 DJI Go 4 监视用户？谷歌已展开调查

外媒报道称，安全公司Synacktiv和Grimm的研究人员表示，「大疆的无人机控制应用 DJI Go 4 可能并不安全。」

02

JavaScript崩溃指南：你遇到过这些异常吗？

xhr.open('GET', 'http://example.com/api/data', true);

01

软件安全性测试（连载5）

XSS防护方法主要包括特殊字符转义和HTTPOnly。HTTPOnly上面已经介绍过，这里来介绍一下特殊字符转义。

02

AngularDart 4.0 高级-安全

本页面介绍了Angular内置的针对常见的Web应用程序漏洞和跨站脚本攻击等攻击的内置保护。它不包括应用程序级别的安全性，如身份验证（此用户是谁？）和授权（此用户可以做什么？）。

02

安装超 200 万！这些安卓键盘App可以被远程入侵

近日，Synopsys 安全研究人员发现，在可以将智能手机用作远程键盘和鼠标的三个 Android 应用程序中存在多个未修补的漏洞。这些应用程序分别是Lazy Mouse、PC Keyboard和Telepad，它们已从 Google Play 商店累计下载超过 200 万次。其中Telepad 不再能通过应用商店下载，但可以从其网站下载。懒惰鼠标（com.ahmedaay.lazymouse2 和 com.ahmedaay.lazymousepro） PC 键盘 (com.beapps.pckeyb

02

如果开发一款名为Remove India Apps的应用

这么说是事出有因，起先，印度开发者推出了一款可以一键卸载中国应用的APP，叫Remove China Apps。上线仅两周，就在下载排行中位居第一，然后在各大主流社交软件被印度网民争相推荐。这款应用其实仅一个功能：帮你找到手机中的中国应用，并一键删除它。

02

cocos2d-x3.0 相对布局(一)「建议收藏」

2dx相对布局和Android非常类似。假设前完成Android它应该是easy入门。

01

安全规则

安全规则可实现更安全的库和应用程序。这些规则有助于防止程序中出现安全漏洞。如果禁用其中任何规则，你应该在代码中清除标记原因，并通知开发项目的指定安全负责人。

00

daily_2021

接码平台： https://www.zusms.com/ wannengjm.com http://www.kakasms.com/ deskos.cn https://yunduanxin.net/

01

安卓应用常见的几种应对恶意攻击的解决方案

内容来源：2018 年 09 月 15 日，华为资深技术专家李欣哲在“从研发到测试，手把手教你打造绿色应用”进行《应用安全常见问题及解决方案》的演讲分享。IT 大咖说（微信id：itdakashuo）作为独家视频合作方，经主办方和讲者审阅授权发布。

02

安全设计白皮书｜谷歌对内存安全的洞察

2024 年 3 月 4 号，Google 官方博客[1]发文，宣布《安全设计 - Google 对内存安全的洞察》白皮书[2]。

01

iPhone和Android，哪个更安全？

iPhone手机和Android手机哪个更好，这一直是人们争论的问题。两个支持方都能罗列出充分的证据证明他们的观点，这也是这个问题一直没有结论的关键。最近Checkmarx and AppSec Labs实验室的一份调查显示，就安全而言，Android优于iPhone。但这貌似有悖于很多人的观点，至少很多公司会建议他们的员工使用iPhone和iPad连接公司网络和访问共享数据。认为iOS开发平台比Android安全的几个看似合理的理由： 1、iOS对开发者的行为有更加严格的限制，并且有更加严谨的沙箱

06

谷歌将彻底淘汰10年前发布的Android版本

谷歌近期刚刚发布完Android 12 beat 3，现在又宣布停止维护Android 2.3.7及更低版本的设备。

01

十个最常见的 Web 网页安全漏洞之首篇

OWASP 或 Open Web Security Project 是一家非营利性慈善组织，致力于提高软件和 Web 应用程序的安全性。该组织根据来自各种安全组织的数据发布顶级 Web 安全漏洞列表。

05

django 实现电子支付功能

思路：调用第三方支付 API 接口实现支付功能。本来想用支付宝来实现第三方网站的支付功能的，但是在实际操作中发现支付宝没有 Python 接口，网上虽然有他人二次封装的的 Python 接口，但是对我这个小白白来说上手还是有点难度，后来发现 PayPal 有现成的 Django 模块，想着以学习的目的来实现这一功能（其实还是自己辣鸡），就决定以 PayPal 的电子支付功能来练手。

02

BUF大事件丨1780个流行安卓APP违反加密规则；工信部通报101款违规APP

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，1780个流行的Android应用程序全都违反加密规则；工信部通报101款侵害用户权益行为APP；英特尔修复了企业远程管理平台中的严重漏洞；新型信用卡窃密工具出现，黑客利用Telegram提取数据。想要了解详情，来看本周的BUF大事件吧！

01

Web Security 之 DOM-based vulnerabilities

在本节中，我们将描述什么是 DOM ，解释对 DOM 数据的不安全处理是如何引入漏洞的，并建议如何在您的网站上防止基于 DOM 的漏洞。

01

Web Security 之 Insecure deserialization

在本节中，我们将介绍什么是不安全的反序列化，并描述它是如何使网站遭受高危害性攻击的。我们将重点介绍典型的场景，并演示一些 PHP、Ruby 和 Java 反序列化的具体示例。最后也会介绍一些避免不安全的反序列化漏洞的方法。

01

AppScan扫描的测试报告结果，你有仔细分析过吗

通过 IIS 6 引入的 HTTP 协议堆栈 (HTTP.sys) 错误地解析了特制的 HTTP 请求。因此，远程攻击者可能执行拒绝服务供给，并可在系统帐户的环境中执行任意代码。该漏洞会影响 Windows 7、Windows Server 2008R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2 上安装的 IIS。Microsoft 发布了通过修改 Windows HTTP 堆栈处理请求的方式来解决漏洞的更新。

04

Fortify软件安全内容 2023 更新 1

Fortify 软件安全研究团队将前沿研究转化为安全情报，为 Fortify 产品组合提供支持，包括 Fortify 静态代码分析器（SCA）和 Fortify WebInspect。如今，Fortify 软件安全内容支持 30 种语言的 1，399 个漏洞类别，涵盖超过 100 万个单独的 API。

03

中国BAT巨头Web浏览器隐私和安全问题

1. 概述在奥斯丁举行的互联网自由和开放通信研讨会 FOCI 16会议上，加拿大多伦多大学公民实验室的研究人员总结了中国三大巨头的浏览器——阿里巴巴的 UC 浏览器、腾讯的 QQ 浏览器和百度的浏览

08

实锤了？芯片巨头高通的隐蔽后门被发现，私密收集用户数据

德国安全公司NitroKey发布了一份报告，指出在不需要安卓操作系统参与的情况下，带有高通芯片的智能手机会秘密向高通发送个人数据，而且这些数据将会被上传至高通部署在美国的服务器上。令人惊讶的是，这些数据是在未经用户同意、未加密的情况下发送的，甚至在使用无谷歌的 Android 发行版时也是如此。其原因大概是提供硬件支持的专有 Qualcomm 软件也会发送数据。受影响的智能手机包括绝大部分使用高通芯片的 Android 手机以及部分苹果手机。对于该报告的内容，高通表示确实存在数据传输行为，但否认私自收

02

苹果已在最新版本系统中弃用不安全的TLS 1.0 与 1.1协议版本

苹果公司9月22日在其开发者网站上称，最新版本系统中已弃用不安全的TLS 1.0 和 1.1 版本，在未来版本中也不再提供支持，涉及的系统包括iOS 15、iPad OS 15、mac OS 12、watch OS 8 和 tv OS 15。

02

Android 11适配攻略

首语分享一个Github小技巧。不用下载任何软件，也不需要装任何的浏览器插件，你只用在Github的网址中，gitHub后面添加1s，回车就可以在Vscode界面访问项目代码了。来个例子。原始地址：https://github.com/hujuny/CommunityLibrary Vscode界面地址：https://github1s.com/hujuny/CommunityLibrary 接下来进入今天的主题👉 Android 11。 Android 12预览版从2021年2月开始启动，目前

01

XSS

XSS全称（Cross Site Scripting）跨站脚本攻击，是最常见的web应用程序安全漏洞之一，位于OWASP top 10 2013年度第三名，XSS是指攻击者在网页中嵌入客户端脚本，通常是JavaScript编写的危险代码，当用户使用浏览器浏览网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。

01

互联网安全威胁及应对方案

作者：蒋海滔，阿里巴巴国际事业部，高级技术专家，爱好Java/JavaScript，长期关注高性能、并发编程以及Web安全。来自：高可用架构(ID:ArchNotes) 一，互联网web应用面临的主要威胁 1. XSS 跨站脚本攻击(Cross Site Scripting)，即A站点的网页想办法跑到B站点上。因为我们的网页都是javascript驱动的，所以js拥有非常大的权力。 XSS 可以大概分为三类(注意这三类不是排斥的)， DomXSS, 反射型XSS和存储型XSS。首先Dom型XS

04

Android 12的行为变更和版本兼容思路

一年一度的产品线兼容活动又开始了。Android系统每更新一次系统，对开发者而言都是持续而漫长的挑战。

01

CA2326：请勿使用 None 以外的 TypeNameHandling 值

引用了 None 以外的 Newtonsoft.Json.TypeNameHandling 枚举值。

03

Android WebView 安全问题汇总

在使用WebView开发时注入JS对象，当App具有读写SDCARD权限，那么注入的JS对象就可以通过反射机制获取到Java对象Runtime，并调用静态方法来执行一些命令，如读写文件命令等。

01

Android deeplink漏洞

Deep link是一种处理特定类型链接并直接发送到应用程序（例如特定活动）的机制。Android 允许开发者创建两种类型的链接：

04

代码质量规则

.NET 代码分析提供旨在提高代码质量的规则。这些规则分为设计、全球化、性能和安全性等领域。某些规则特定于 .NET API 用法，而其他规则与通用代码质量相关。

03

CA2356:Web 反序列化对象图中的不安全 DataSet 或 DataTable 类型

带有 System.Web.Services.WebMethodAttribute 或 System.ServiceModel.OperationContractAttribute 的方法具有可能引用 DataSet 或 DataTable 的参数。

00

OAuth2简单科普

用户将自己的"云存储"服务的用户名和密码，告诉"云冲印"，（即资源服务器的用户名和密码存储在客户应用服务器上）后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。

03

四、CLR执行程序集中代码和IL代码简介

三、加载公共语言运行时中介绍了在安装了.Net Framework中加载公共语言运行时,公共语言运行时加载程序集的过程.以及通过vs stdio设置源码编译的目标平台的过程. 本问主要介绍公共语言加载完程序集之后,执行程序集中的代码的过程. 一、IL中间语言 1、IL简介一、源代码-面向CLR的编译器-托管模块-(元数据&IL代码)中介绍了C#源代码通过C#编译器生成的最终产物是托管模块,而托管模块是由IL中间语言和元数据组成,IL语言是比大多数机器语言都要高级的语言,IL有以下功能: (1)、能访问和操

08

一群极其注重隐私的人士，开发了一款超级安全的Android系统

根据国外媒体报道，Tor项目的开发人员已经设计出了一种安全的Android手机原型，这个基于Tor网络的Android手机使用了CopperheadOS、Orbot和orWall，而开发人员设计这个原型的目的就是为了帮助用户保护自己的隐私信息，并且防止用户感染移动端的恶意软件。 📷 近期，Tor项目的开发人员已经研发出了一种基于Tor网络的原型机。众所周知，广大用户对Android操作系统的安全性一直都非常地担忧，而很多人因此会认为谷歌公司和各大Android智能手机制造商并没有认真对待Andro

06

国外超流行的同性恋APP，被黑灰产盯上了

据Bleeping Computer消息，同性恋应用程序Sniffies近日被黑灰产们盯上了。他们通过推销各类诈骗和不安全的谷歌Chrome扩展程序的域名来诱骗用户。在某些情况下，这些非法域名会启动 Apple Music 应用程序，提示用户购买订阅，这反过来又会为攻击者赚取佣金。

01

APK成为历史！鸿蒙系统或被禁止兼容？

据外媒 SlashGear报道，Google Play 应用商店正在不断发展，以满足安卓用户和开发者不断增长的需求和要求。其中许多改进依赖于由人工智能和机器学习驱动的自动化系统，特别是在筛选应用程序的恶意软件或禁止内容方面。

02

WebGoat靶场系列---AJAX Security(Ajax安全性)

Ajax 即” Asynchronous Javascript And XML”(异步 JavaScript 和 XML),是指一种创建交互式网页应用的网页开发技术。

02

为什么不使用 Math.random() ?!

当程序在需要不可预测性的上下文中生成可预测的值时，攻击者可能会猜测将要生成的下一个值，并使用该猜测来冒充另一个用户或访问敏感信息。

03

Chrome 81 正式发布！消灭混合内容最后一步~

Chrome 81 于前天正式发布了，这个版本其实最初是计划在 3 月 17 号发布的，但由于冠状病毒（COVID-19）爆发而导致推迟到了现在。Chrome 81 的延迟也扰乱了 Google 正常的六周发布时间表。因此 Google 此前也宣布，下一个版本将直接跳过 Chrome 82 ，直接发布 Chrome 83。

05

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭