Android安全小知识

最新推荐文章于 2025-08-29 20:08:48 发布
原创 最新推荐文章于 2025-08-29 20:08:48 发布 · 557 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Activity绕过

-- --
缺陷描述 直接调用activity可以绕过一些机制。
分析方案 Drozer绕过activity进行登录(方法详见下测试方法说明)
对应威胁 设计缺陷
风险等级 中风险
后果 绕过原有机制,进行操作。
修复方案 开发阶段防护:将不必要的导出的组件设置为不导出,即exported的属性为false;对权限进行控制
测试方法:
  • 使用drozer分析apk攻击面,查看暴露activity
    • Droze命令:adb forward tcp:31415 tcp:31415(adb连接手机Agent端口)
    • drozer.bat console connect (连接至手机或者模拟器,连接成功显示Android标志图)
    • run app.package.attacksurface “XXX包名” 分析应用组件暴露面
  • 如存在activity组件暴露,查看activity暴露组件
    • run app.activity.info -a “XXX包名”
    • Drozer越过启动activity
  • run app.activity.start --component “包名” “activity名”
    • 检查应用界面,是否越过前置activity启动(如APP越过启动成功,则漏洞判断成立)

Cookies信息明文数据保存

-- --
缺陷描述 客户端程序登录后,cookie信息明文存储在本地数据库中。
分析方案 Fiddler抓包(方法详见下测试方法说明)
对应威胁 敏感信息泄露
风险等级 高风险
后果 恶意程序通过系统漏洞提权,窃取敏感信息。
修复方案 采用对Cookies数据库进行加密保护。(第三方服务可选邦邦,爱加密)
测试方法:
  • 配置fiddler抓包客户登录时 cookies数据(url中标注有jsessionid)
    • 获取jsessionid
  • 导出应用数据库,查看cookies数据
    • Adb pull /data/data/”XX包名”/databases/* E:/”指定导出文件夹” 或 使用DDMS file explorer->data->data,然后找到你运行过的项目导出
    • 使用sqlite expert查看数据库-- file->open database(也可使用android的sdk中自带sqlite3.exe进行查看
  • 比对cookies数据存储jsessionid值,判断同抓包数据是否一致(如比对一致,则漏洞判断成立)
android 系统安全内容总结
鹅鹅鹅的博客
01-30 2592
android 系统安全
Android手机中各类安全相关知识总结
数据知道的博客
03-16 9220
Android 设备的安全性需要用户、开发者厂商共同努力。通过了解常见的安全威胁、采取有效的防护措施以及遵循最佳实践,可以显著提高 Android 设备的安全性。Android移动端的安全涉及系统架构、权限管理、数据加密、网络安全、应用开发、常见威胁防护及设备设置等多个方面。通过了解并应用上述安全知识,用户开发者可以有效提升Android设备的安全性,保护个人隐私数据安全。随着技术的不断发展,安全威胁也在不断演变,保持对最新安全动态的关注持续的安全防护措施是确保Android设备安全的关键。
2021-03-30
weixin_45543686的博客
03-30 1170
APP安全测试: (来自小白的笔记) 一、apk构成 1.以无纺之家apk为例。 2.将wfzj.apk直接解压到文件夹 3.解压后的文件介绍,如下图 4.META-INF文件下的三个重要文件 5. Res目录下文件了解 二、如何打包apk文件 第1步:通过aapt工具打包资源文件 第2步:处理ALDL文件生成对应的.java文件 第3步:通过javac命令编译java文件生成对应的.class文件 第4步:通过dx工具把.class文件转化成Davik VM支持的dex文件 第5步:通过apkbui
android安全基础知识学习
LJFYYJ的博客
07-25 1882
android Dalvik层Native层逆向 JEB静态分析、动态调试 IDA静态分析、动态调试
Android安全测试
Scorpio_m7
05-17 1157
基础介绍 Android 平台、组件等基础知识介绍 Android平台架构 Android系统 架构采用分层式设计。 如果把Android 系统看做一层一层的,那么基本可以理解成以下结构(这是其中一种简单的分层方式): 最上层是应用层( Application 层),包含所有应用 ,比如桌面 (桌面 也是应用)、电话、 设置等,以及我们常用的微信、优酷等应用属于这一层 第二层是应用框架层Framework 层),包含了对上层应用的管理提供开发者所需的应用程序编程接口( API )。 第三层是系统运行库层
Drozer:Android安全测试框架
2501_90886018的博客
03-24 1473
Drozer是由MWR Labs开发的一款针对Android系统的安全测试框架,旨在通过模拟应用程序的角色与Android运行时、其他应用程序的IPC端点以及底层操作系统进行交互,从而发现潜在的安全漏洞。它支持对Android应用的动态分析,帮助安全研究人员开发者快速识别应用中的安全问题,如权限滥用、数据泄露、SQL注入等。Drozer的核心特点是交互式测试模块化设计,用户可以通过命令行接口(CLI)执行多种安全测试任务。
Android安全机制权威指南:从权限、加密到代码混淆
m0_65382359的博客
06-23 1216
Android安全是一个多维度、纵深防御的体系。构建一个安全的应用需要我们:✅遵循最小权限原则,并使用现代API来请求权限。✅使用Jetpack Security加密所有存储在本地的敏感数据。✅强制使用HTTPS,并通过网络安全配置增强网络层安全。✅启用R8/ProGuard混淆代码,增加逆向难度。✅妥善保管签名密钥,并使用Play应用签名服务。在下一篇文章中,我们将挑战Android开发中的一个重头戏——自定义View。
Android 应用安全
嗯...
09-26 2291
应用安全 客户端程序安全任意备份风险屏幕截屏安全漏洞组件安全四大组件的安全暴露什么情景下,调用startActivity可以启动android:exportedandroid sharedUserIdandroid:permission根据场景控制四大组件的安全暴露封闭式半封闭式开放式WebView组件安全暴露参考转载地址 客户端程序安全 任意备份风险 漏洞危害 一旦应用程序支持备份恢复功能,攻击者即可通过adb backupadb restore进行恢复新安装的同一个应用来查看聊天记录等信息
Android逆向 学习Android安全逆向开发的路线总结
2401_87298671的博客
09-21 2094
第一阶段:Android 基础知识回顾:Android 逆向基础知识:入门知识总结实战(逆向入门):Android 基础算法安全协议:第二阶段:Android 逆向进阶学习:Android NDK与JNI全面剖析:Android 加固防护脱壳简介:Android 脱壳与反脱壳分析:进阶知识总结企业级实战(逆向进阶):第三阶段:Android 漏洞分析挖掘:Android 虚拟机技术、系统源码分析、刷机机制介绍、制作ROM刷机包:
Android系统框架知识系列(十九):Android安全架构深度剖析 - 从内核到应用的全栈防护
Android/Linux kernel经验分享
08-29 1078
Android安全架构采用"深度防御"策略,构建多层次防护体系。核心机制包括:基于硬件安全模块的信任链验证(Verified Boot)、Linux内核级应用沙箱隔离(UID/Capability)、SELinux强制访问控制、动态运行时权限管理,以及全盘/文件级加密技术。系统通过安全启动链、硬件密钥库(Keymaster/StrongBox)保障底层安全,结合应用沙箱精细化权限控制(如Android 12近似位置)实现应用层防护。隐私保护方面引入数据访问审计差分隐私等技术,未来将向
精选资源
Android安全攻防指南_硬件层的攻击_编程案例解析实例详解课程教程.pdf
05-05
Android安全攻防指南》一书中,硬件层的攻击部分主要探讨了在Android系统广泛应用的背景下,如何针对各种嵌入式设备的硬件进行攻击逆向工程。Android因其可移植性、灵活性开放性,成为了嵌入式设备操作系统中...
精选资源
Android软件安全与逆向分析_带书签_Android软件安全与逆向分析_带书签_android_
09-29
Android软件安全与逆向分析》是一本深入探讨Android应用安全逆向工程的书籍,带书签功能方便读者查阅学习。在Android平台上,软件安全与逆向分析是极其重要的话题,因为随着移动设备的普及,恶意软件隐私...
Android安全架构深度解析
10-24
Nikolay Elenkov通过将理论知识与实战案例相结合的方式,使读者能够深入理解Android安全架构的底层工作原理,并掌握如何应用这些知识安全漏洞的发现修复中。 Android Security Internals不仅为安全专业人士提供...
Android应用安全实战
10-24
对于想要深入了解Android应用安全提高自身技能的移动开发者、安全工程师以及对Android安全感兴趣的技术人员,这本书无疑是一本不可多得的实战指南。通过阅读本书,读者能够掌握抵御各种安全攻击的技术,为构建高...
超导磁能储存系统的建模仿真(Simulink仿真实现)
12-09
超导磁能储存系统的建模仿真(Simulink仿真实现)
基于GPT-4o与GLiNER构建的企业ESG情感与方面时间序列数据集(Nano-ESG)
最新发布
12-09
Nano-ESG数据资源库的构建基于2023年初至2024年秋季期间采集的逾84万条新闻文本,从中系统提炼出企业环境、社会及治理维度的信息。其构建流程首先依据特定术语在德语与英语新闻平台上检索,初步锁定与德国DAX 40成分股企业相关联的报道。随后借助嵌入技术对文本段落执行去重操作,以降低内容冗余。继而采用GLiNER这一跨语言零样本实体识别系统,排除与目标企业无关的文档。在此基础上,通过GPT-3.5与GPT-4o等大规模语言模型对文本进行双重筛选:一方面判定其与ESG议题的相关性,另一方面生成简明的内容概要。最终环节由GPT-4o模型完成,它对每篇文献进行ESG情感倾向(正面、中性或负面)的判定,并标注所涉及的ESG具体维度,从而形成具备时序特征的ESG情感与维度标注数据集。 该数据集适用于多类企业可持续性研究,例如ESG情感趋势分析、ESG维度细分类别研究,以及企业可持续性事件的时序演变追踪。研究者可利用数据集内提供的新闻摘要、情感标签与维度分类,深入考察企业在不同时期的环境、社会及治理表现。此外,借助Bertopic等主题建模方法,能够从数据中识别出与企业相关的核心ESG议题,并观察这些议题随时间的演进轨迹。该资源以其开放获取特性与连续的时间覆盖,为探究企业可持续性表现的动态变化提供了系统化的数据基础。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
Scala设计模式精要
12-09
本书深入探讨Scala语言中的设计模式,融合面向对象与函数式编程思想,系统讲解如单例、建造者、装饰者等经典模式在Scala中的简洁实现。通过实际案例解析,展示如何利用语言特性如特质、柯里化、隐式转换等提升代码复用性与可维护性。适合具备一定Scala基础的开发者进阶学习,帮助理解高阶抽象的设计原理与最佳实践,掌握构建灵活、高效Scala应用的核心模式。
web敏感目录、信息泄漏批量扫描脚本,结合爬虫、目录深度遍历
12-09
下载方式:https://pan.quark.cn/s/548179562a67 webdirdig =================================== web敏感目录\信息泄漏扫描脚本 Basic usage ===================================
arm64交叉编译工具链
12-09
Windows下交叉编译工具链
Android手机安全卫士应用开发教程
### 知识点概述 #### Android 应用开发基础 1. **Android 开发环境搭建**:了解如何搭建Android开发环境,包括安装Android Studio、配置SDK等。 2. **项目结构**:掌握Android项目的基本结构,包括源代码文件夹...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值