本文作者：pa55w0rd（信安之路知识星球成员---续费作品） 信安之路知识星球过期用户可以通过投稿一篇文章，入选公众号发布即可免费续一年

0x00 写在前面

源于跳槽到甲方一个人的安全部，之前我做渗透测试几乎都是 web 和移动 server 端的，客户端只会拿 apktool、dex2jar、drozer 等工具反编译一下看看源码和四大组件安全。公司要求我对移动客户端进行安全评估，看了一篇 360 的关于 Android 应用的评估报告，发现有很多的测试项我都没有测试过，并且网上的细节资料很少，偶得一款 inject 工具，尝试了一些 app 都能成功，把过程记录一下。

本文作者：x-encounter （信安之路作者团队成员 & 信安之路病毒分析小组组长）

该 APK 样本是通过国外的下载站进行投放的，伪装成正常的软件并在特定情况下启动后门模块获取用户信息，VT 报读情况如下

免杀效果还是很不错的，貌似只有 ESET 准确的报出了 Spy 类型。

第一次写 Android 相关的分析文章，如有错误，还请各位大佬指教^o^

本文作者：Snjezana（信安之路移动安全小组成员）

这是 2017 年 3 月份有关移动市场的统计数据,移动 app 的数量已经突破 10 亿。移动安全也成为了一个全民关注的问题。从最初的 app 只针对功能实现，爆出来了一系列的高危漏洞之后，应运而生了包括移动 app 检测、app 加固保护等工作来保护开发者以及使用者权益。同时，http 的明文数据传输问题也得到了有效解决。我们本篇文章的讨论内容还是从数据传输过程中所引发的一系列安全问题。

区块链安全相关

原创 浅谈以太坊智能合约的安全漏洞

移动安全相关

原创 Android组件安全

原创 Android App漏洞学习（一）

DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞的Android app，目的是为了让开发、安全工程师、QA等了解Android app常见的一些安全问题，类似dvwa，也可以把它当成一个漏洞演练系统。