Android安全小知识
来源:互联网 发布:java web尚学堂 编辑:程序博客网 时间:2024/04/28 05:14
Activity绕过
测试方法:
- 使用drozer分析apk攻击面,查看暴露activity
- Droze命令:adb forward tcp:31415 tcp:31415(adb连接手机Agent端口)
- drozer.bat console connect (连接至手机或者模拟器,连接成功显示Android标志图)
- run app.package.attacksurface “XXX包名” 分析应用组件暴露面
- 如存在activity组件暴露,查看activity暴露组件
- run app.activity.info -a “XXX包名”
- Drozer越过启动activity
- run app.activity.start --component “包名” “activity名”
- 检查应用界面,是否越过前置activity启动(如APP越过启动成功,则漏洞判断成立)
Cookies信息明文数据保存
测试方法:
- 配置fiddler抓包客户登录时 cookies数据(url中标注有jsessionid)
- 获取jsessionid
- 导出应用数据库,查看cookies数据
- Adb pull /data/data/”XX包名”/databases/* E:/”指定导出文件夹” 或 使用DDMS file explorer->data->data,然后找到你运行过的项目导出
- 使用sqlite expert查看数据库-- file->open database(也可使用android的sdk中自带sqlite3.exe进行查看
- 比对cookies数据存储jsessionid值,判断同抓包数据是否一致(如比对一致,则漏洞判断成立)
1 0
- Android安全小知识
- 医疗器械安全知识小科普
- Android 小知识
- Android 开发小知识
- Android 基础小知识
- android小知识
- Android小知识汇总
- android 小知识
- 小知识:android
- Android小知识
- Android 小知识
- Android 小知识
- android 小知识总结
- android手机小知识
- android备注小知识
- Android小知识-1
- Android小知识
- Android小知识-2
- HTML iframe 用法小总结
- java设计模式之单例模式
- Spark Scheduler模块源码分析之TaskScheduler和SchedulerBackend
- C++应用程序性能优化——C++语言特性
- SEAndroid 策略(灰常重要)
- Android安全小知识
- Android系统的体系架构
- 15级第四周会议
- 生成树计数
- HTTP访问请求信息提取及权限
- Julia: Dates =>DateFormat, format,parse.......
- IMS Modify Call (3) accept reject timeout 接受/拒接/超时 视频升级请求
- 网页开发之单选框
- <s:if test="">的使用问题