码迷,mamicode.com
首页 > 移动开发 > 详细

Android APP漏洞挖掘

时间:2017-06-28 13:07:14      阅读:323      评论:0      收藏:0      [点我收藏+]

标签:webview   target   dma   rgb   随机   china   post   android   抓包   

   0x00 

    1、组件公开安全漏洞

    參考Android 组件安全


    2、Content Provider文件文件夹遍历漏洞

    參考Content Provider文件文件夹遍历漏洞浅析


    3、AndroidManifest.xml中AllowBackup安全检測

    參考两分钟窃取身边女神微博帐号?具体解释Android App AllowBackup配置带来的风险


    4、Intent劫持风险安全检測

    參考Android组件通信过程风险


    5、数据存储安全检測

    參考Android Database配置模式安全风险浅析Android本地数据存储:Internal Storage安全风险浅析Android本地数据存储:Shared Preferences安全风险浅析


    6、拒绝服务攻击安全检測

    參考Android应用本地拒绝服务漏洞浅析


    7、随机数生成函数使用错误

    參考SecureRandom漏洞解析


    8、中间人攻击漏洞

    博客地址:Android 中间人攻击

    

    9、从sdcard载入dex漏洞

    參考外部动态载入DEX安全风险浅析


    10、Activity被劫持风险

    參考Activity劫持实例与防护手段


    11、WebView高危接口安全检測

    博客地址:Android WebView远程代码运行漏洞简析


    12、WebView明文存储password漏洞

    參考Android中webview缓存password带来的问题


    13、Android HTTPS中间人劫持漏洞

    參考Android HTTPS中间人劫持漏洞浅析


    14、Webview file跨域訪问

    博客地址:Android WebView File域同源策略绕过漏洞浅析


    15、port开发:主要分析Baidu地图和高德地图,并有漏洞利用代码。展示实际的效果。

而且通过反编译smali分析了为什么漏洞利用代码要这么写。博客地址:百度全系APP SDK漏洞–WormHole虫洞漏洞

    

    16、明文存储。明文传输

    假设password或者聊天记录被明文存储在用户的私有文件夹,更甚至存储在SD卡上,那就有被泄露的风险。

    假设从用户的password是通过明文传输给server,那有可能通过抓包工具截获后破解。

Android APP漏洞挖掘

标签:webview   target   dma   rgb   随机   china   post   android   抓包   

原文地址:http://www.cnblogs.com/gccbuaa/p/7089143.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!