android
关注
分享
扫一扫
文章平均质量分 65
aetkrad
网络安全爱好者
展开
-
android Handler(一)
这几天一直在看Handler的用法,今天来总结下。原创 2014-10-25 15:17:36 · 365 阅读 · 0 评论 -
Inspeckage 安装教程
简介Inspeckage在网上已经有很多介绍了,它的github为https://github.com/ac-pm/Inspeckage,这里介绍官方的安装方法:Genymotion+Xposed+Inspeckage。Genymotiongenymotion是国外比较流行的android虚拟机,官网为http://www.genymotion.net/,不过这是有区别免费和收费版本的,免费版本功能原创 2017-09-28 16:12:37 · 8831 阅读 · 4 评论 -
当‘EFBFBD’和它的朋友相遇:研究字符数组转换字符串
你正在进行另一项令人兴奋的android应用评估,这个app存在了很多漏洞,你恐怕开发团队需要重新设计整个应用,而不是去修复这些让你想摧毁的bug,特别是当你遇见下面的加密密钥出现在你的输出栏中 加密密钥:EFBFBDEFBFBDEFBFBD603466EFBFBD7BEFBFBD6C24E2B2AA576AEFBFBDEFBFBDEFBFBD0C6BEFBFBDEFBFBDEFB翻译 2017-01-10 14:38:56 · 3554 阅读 · 0 评论 -
android 反调试常见方法
TracerPid反调试/proc/%d/status中的tarcerpid值不为0,就意味着有人调试 同样还有 State属性值T 表示调试状态23946端口检测反调试检测/proc/net/tcp文件里是否有00000000:5D8A,0x5D8A的十进制就是23946./androidserver -p1995 切换端口为1995读取/proc/%d/wchan会有不同状态,sys_ep原创 2017-03-13 10:59:15 · 720 阅读 · 0 评论 -
2016 OWASP Mobile TOP 10 中文版
M1-平台使用不当这个类别包括平台功能的滥用,或未能使用平台的安全控制。它可能包括 Android 的意图( intent)、 平台权限、 TouchID 的误用、 密钥链 ( KeyChain)、或是移动操作系统中的其他一些安全控制。有几种方式使移动应 用程序能受到这类风险。M2-不安全的数据存储这个新的类别是《 2014 年版十大移动安全威胁》中 M2 和 M4 的组合。这个类别 包括不转载 2017-02-09 09:49:33 · 6523 阅读 · 1 评论 -
android build.prop的参数
一、什么是build.prop?/system/build.prop 是一个属性文件,在Android系统中.prop文件很重要,记录了系统的设置和改变,类似於/etc中的文件。这个文件是如何生成的呢?build/tools/buildinfo.sh 脚本就是专门用于生成build.prop文件build/core/Makefile中使用build/tools/bu转载 2016-12-20 11:38:58 · 1198 阅读 · 0 评论 -
drozer本地拒绝检测模块
一、漏洞原理NullPointerException空数据异常:应用程序没有对getAction()等获取到的数据进行空指针判断,从而导致空指针异常而导致应用崩溃。例如:Intent mIntent = this.getIntent(); if(mIntent.getAction().equals("test")){ Log.d("test", "有没bug"); }原创 2017-01-05 14:59:51 · 1474 阅读 · 0 评论 -
CVE-2014-8610 短信重发漏洞
目录目录前言漏洞介绍漏洞细节POC前言研究百度Xteam发现的CVE-2014-8610短信重发漏洞,因为原文是英文顺便翻译了一下,原文地址[1]。漏洞介绍在安卓5.0以下,一个未授权的app可以重新发送存储在用户手机里的所有短信,短信按照以前的发送人和接收人一一发送。更糟糕的是恶意软件同样可以在未授权的情况下建立存储草稿,一个组合技就能发送任意短原创 2016-12-22 20:03:06 · 771 阅读 · 0 评论 -
java.lang.UnsatisfiedLinkError: Native method not found解决方案
一、方法名路径不对下图为我实现native的类:我们在c文件中就应该Java+package路径+类名+native方法:需要注意的是Java前面的“J”为大写二、C++文件问题如果是C++文件(.cpp或者.cc),要使用extern "C" { } 把本地方法括进去三、值为空往Jni方法中传值问题,原创 2016-12-21 15:06:02 · 547 阅读 · 0 评论 -
Drozer模块命令大全(二)
目录目录模块列表模块列表 模块 作用 auxiliary.webcontentresolver 开启web服务来获取content providers exploit.jdwp.check 针对@jdwp-control漏洞 exploit.pilfer.general.apnprovider 获取APN信息 exploit.pilfer.general.sett原创 2016-12-16 11:34:51 · 2731 阅读 · 0 评论 -
Drozer模块命令大全(一)
目录目录前言APP模块前言最近在研究drozer的使用,发现网上的资料也挺少的,就自己过了一遍所有模块,可以当使用手册来看。APP模块 模块名 作用 app.activity.forintent 通过intent查找它的activity app.activity.info 获取activities信息 app.activity.start 开启 Activity原创 2016-12-08 16:13:19 · 7496 阅读 · 0 评论 -
通过DIVA了解APP安全问题
目录目录导语DIVA不安全日志输出Insecure Logging不安全的数据存储Insecure Data Storage -Part1Insecure Data Storage -Part2Insecure Data Storage -Part3Insecure Data Storage -Part4硬编码Hardcoding Issues -Part1Hardcodin原创 2016-12-01 12:50:34 · 2253 阅读 · 0 评论 -
dex文件格式——思维导图
dex文件格式的思维导图原创 2017-10-20 10:53:39 · 497 阅读 · 0 评论