LiBai'S BLOG

报错解决指定安装路径的命令行：pip install --target=xxx pygamepip install --target=I:\APP测试\frida\objection objection

DIVA了解APP安全问题硬编码Hardcoding Issues -Part1Hardcoding Issues -Part2硬编码某些需要比较字符串的值为硬编码，如：激活码加密的key或者salt为硬编码，如MD5的saltHardcoding Issues -Part1这里直接查看源码就知道答案HardcodeActivity.class if (((EditText)findViewById(2131492987)).getText().toString().equals(

DIVA了解APP安全问题DIVADIVA (Damn insecure and vulnerable App)，是一个故意设计为全身漏洞的APP软件，它能让开发人员、QA、安全人员了解到APP软件一般存在的问题。https://github.com/payatu/diva-android不安全日志输出开发人员有意或无意地记录敏感信息（如凭据，会话ID，财务详细信息等）Insecure Logging我们输入的数字”123456789”，使用adb logcat 命令可以看到E/div

最近学习app的测试学会了客户端的测试方法。只知道怎么实现将其中存在的漏洞和不合规项找出来但是不知道其中的原理。一直再说HOOK技术，也就是所谓的钩子今天了解一下他到底是个啥东西。HOOKHook 英文翻译过来就是「钩子」的意思，那我们在什么时候使用这个「钩子」呢？在 Android 操作系统中系统维护着自己的一套事件分发机制。应用程序，包括应用触发事件和后台逻辑处理，也是根据事件流程一步步地向下执行。而「钩子」的意思，就是在事件传送到终点前截获并监控事件的传输，像个钩子钩上事件一样，并且能够在钩上事件

App面临的主要风险客户端传统逆向分析类（反编译、调试、加密/签名破解…)用户已经中招类（输入记录、导出组件、进程注入…)服务端系统组件类(MS17-010脏牛、心脏滴血…)业务应用类（注入,跨站,越权,执行,上传，下载,弱口令…)APP测试=APP本地测试+WEB渗透测试客户端测试本地测试部分顾名思义，真正进行攻击或利用时也是要在本地才能实施。除了逆向分析和敏感信息泄露部分外，基本都是以用户手机已经运行了恶意程序为前提进行的，实际可利用性大多不高。客户端测试-环境准备JDK

日志记录I:\APP测试\drozer>adb connect 127.0.0.1:62001connected to 127.0.0.1:62001I:\APP测试\drozer>adb devicesadb server version (36) doesn't match this client (41); killing...* daemon started successfullyList of devices attachedI:\APP测试\drozer>a

adb功能异常，重启adb（1）把adb服务杀死：adb kill-server（2）重启adb服务：adb reconnect注：如果使用的不是真机而是模拟器，需要进行连接操作，即运行adb connect 127.0.0.1:62001其中62001为模拟器所使用的端口号https://blog.youkuaiyun.com/shixiu_yuan/article/details/103517388https://blog.youkuaiyun.com/weixin_41091486/article/details