wooyun 移动安全 Android - 程序员宅基地

Android 应用层组件安全测试基础实战技巧

前面写过移动安全-Android安全测试框架Drozer 一文，记录了如何使用 Drozer 对 Android 四大组件进行安全测试，本文补充下其他一些零散的测试知识。 Adb Shell adb shell 提供了很多实用的命令可供测试者使用，如 ...

Android安全测试用例（网络资源学习记录）

标签： android 安全测试用例

数字签名检测 C:\Program Files\Java\...如上图，说明测试结果为安全。要说明的是，只有在使用直接客户的证书签名时，才认为安全。 Debug 证书、第三方（如开发方）证书等等均认为风险。反编译检测把 apk 当成 zip

安卓app漏洞挖掘浅析及案例.pdf

标签： wooyun 移动安全 Android

来自梆梆安全的horseking给我们带来了好几种挖掘移动端安全漏洞的姿势，十八式非常熟练，功底深厚~最后又介绍了一种诡异的软件商店，能让咱家APP悄悄的消失，也能让其他家的APP悄悄出现议程漏洞分类挖掘的一些...

谈谈移动应用加固.pdf

标签： wooyun

Android应用主要以Java语言编写,混淆作用有限 Android为开源系统,逆向和反编译工具非常成熟 Android系统淡化进程概念,基于消息和事件触发运行的机制使得插入恶意代码甚至无需接触字节码 Root后可利用ptrace API或...

Android研发安全-Activity组件安全（上）

标签： android 安全研发

Activity组件是用户唯一能看见的组件，作为软件所有功能的显示载体，其安全性不言而喻。针对Activity组件安全，作为一个安卓开发者来讲需要在日常开发过程中注意两点： - Activity访问权限的控制 - Activity被

【2016年度】移动安全研究资料总结

标签： Android安全移动安全安全工具

[转载来源] http://www.droidsec.cn/移动安全研究资料总结（2016年度）/ Research & Papers & Presentations MANIFEST FILES CLASSIFICATION OF ANDROID MALWARE –pdfDroidNative: Semantic-Based Detection of...

Android研发安全1-Activity组件安全（上）

标签： android 安全 activity

- 谨慎处理接收的Intent以及其携带的信息 - 当Activity返回数据时候需注意目标Activity是否有泄露信息的风险 - 目标Activity十分明确时尽量使用显示启动 - 谨慎处理Activity返回的数据，目的Activity返回的数据有...

Android安全开发之Provider组件安全

标签： android 安全 Provider

如果在AndroidManifest文件中将某个Content Provider的exported属性设置为true，则多了一个攻击该APP的攻击点。如果此Content Provider的实现有问题，则可能产生任意数据访问、SQL注入、目录遍历等风险。

Android安全开发之WebView中的大坑

在Android开发中，经常会使用WebView来实现WEB页面的展示，在Activiry中启动自己的浏览器，或者简单的展示一些在线内容等。WebView功能强大，应用广泛，但它是天使与恶魔的合体，一方面它增强了APP的上网体验，让...

Android 开发， Android 安全精品资料收集（持续更新...)

标签： Android Android Security Machine Learning

系统安全 (Android) 看雪安全论坛吾爱破解 DroidSec安卓安全中文站阿里聚安全 ...360移动安全 ...[CSDN] Android安全及病毒分析主要致力于Android逆向分析、系统安全、应用安全、病毒分析与检测...

2016看雪等安全网站android安全最新经典文章第一期总结

标签： android安全总结

主要涉及dex，elf，xml等文件结构和一些脱壳，然后so hook和java hook的实现，...一、android安全保护办法总结 http://drops.wooyun.org/mobile/12172 Android应用安全开发之源码全 2016/01/21 http://www.cnblogs

Android安全技术揭秘与防范

标签：移动安全

第7章 APK动态分析

Android安全之WebViewUXSS漏洞

标签：应用安全 webview 漏洞分析

UXSS主要源于浏览器或浏览器扩展程序的安全缺陷，不需要网站本身存在漏洞也可以触发漏洞，攻击者可以获取到浏览器打开和缓存的所有页面（不同域）的会话信息，因此UXSS漏洞的杀伤力极强。

Android本地数据存储：Shared Preferences安全风险浅析

标签：安全 Shared Preferences

1. 安卓Shared Preferences存储安全风险描述 Android系统提供了以下四种Android应用本地存储方式：Shared Preferences、SQLite Databases、Internal Storage、External Storage等存储方式。Shared Preferences...

浅谈Android开放网络端口的安全风险

小荷才露尖尖角 · 2015/07/09 10:350x00 简介Android应用通常使用PF_UNIX、PF_INET、PF_NETLINK等不同domain的socket来进行本地IPC或者远程网络通信，这些暴露的socket代表了潜在的本地或远程攻击面，历史上也出现...

Android应用安全开发之源码安全

标签： android 安全逆向分析反调试

Android apk很容易通过逆向工程进行反编译，从而是其代码完全暴露给攻击者，使apk面临破解，软件逻辑修改，插入恶意代码，替换广告商ID等风险。我们可以采用以下方法对apk进行保护. 0x01 混淆保护混淆是一种用来...

Android安全开发之ZIP文件目录遍历

标签： Android开发阿里聚安全移动安全

ZIP压缩包文件中允许存在“../”的字符串，攻击者可通过精心构造ZIP文件，从而改变ZIP包中某个文件的存放位置，覆盖替换掉...阿里聚安全的应用漏洞扫描器，可以检测出应用的ZIP文件目录遍历风险，并有完整的修复方案。

Android-APP安全（一）测试

Android系统由于其开源的属性，市场上针对开源代码定制的ROM参差不齐，在系统层面的安全防范和易损性都不一样，Android应用市场对app的审核相对iOS来说也比较宽泛，为很多漏洞提供了可乘之机。市场上一些主流的app...

【技术分享】Android应用安全开发之浅谈加密算法的坑

标签： Android开发应用安全安全加密

Android开发中，并不是使用了加密就绝对安全了，如果加密函数使用不正确，加密数据很容易受到逆向破解攻击。此文让你了解更多Android加密算法的安全问题。

Android中的Intent意图安全

Intent（意图）主要是用于激活组件和解决Android应用的各项组件之间的通讯。意图有分为显式意图和隐式意图。意图的使用显式意图使用代码，贴出主要显示意图跳转的代码。 public class MainActivity extends ...

android addjavascriptinterface 漏洞,Android WebView组件addJavascriptInterface方法远程命令执行漏洞...

标签： android addjavascriptinterface 漏洞

发布日期：2013-09-05更新日期：2013-09-07受影响系统：Android Android < 4.2描述：--------------------------------------------------------------------------------Android的SDK中提供了一个WebView组件，...