摘要:
第三方sdk的包括广告、支付、统计、社交、推送,地图等类别,是广告商、支付公司、社交、推送平台,地图服务商等第三方服务公司为了便于应用开发人员使用其提供的服务而开发的工具包,封装了一些复杂的逻辑实现以及请求,响应解析的API,由于其使用的广泛性,一旦出现安全问题并且被黑客利用,其影响范围之广,危... 阅读全文
摘要:
一.关于app的缓存代码 安卓的应用程序apk文件是zip压缩格式的文件,apk文件中包含的classes.dex文件相当于app的可执行文件,当app运行后系统会对classes.dex进行优化,生成对应的odex格式的文件。 odex文件相当于app的可执行文件的缓存代码,一般安卓系统在第一次加 阅读全文
摘要:
Android应用安全不仅包括客户端的安全,也包括web接口的安全。移动App中的Web接口安全主要分为以下几块:1.SQL注入漏洞这是一个不能再常见的漏洞类型了,由于App的特性,开发人员认为使用App时无法获取到详细URL等信息,所以忽视了App防注入的编写。例如:糗事百科某处SQL注入可导致1... 阅读全文
摘要:
Android软件通常使用WIFI网络与服务器进行通信。WiFi并非总是可靠的,例如,开放式网络或弱加密网络中,接入者可以监听网络流量;攻击者可能 自己设置WIFI网络钓鱼。此外,在获得root权限后,还可以在Android系统中监听网络数据。不加密地明文传输敏感数据 最危险的是直接使用HTT... 阅读全文
摘要:
程序员希望通过加密来提升程序的安全性性,但却缺乏专业的密码学背景知识,使得应用对数据的保护非常薄弱。本文将介绍可能出现在Android应用中的一些脆弱的加密方式,以及对应的攻击方法。造成脆弱加密的主要原因 Android应用中造成弱加密的原因多种多样,OWASP Mobile Top 10 给出了... 阅读全文
摘要:
网上公开IDA6.6已经有一段时间,这个版本有个好处就是可以动态调试java代码。正好现在需要动态调试,所以顺便练习一下。根据android的官方文档,如果要调试一个apk里面的dex代码,必须满足以下两个条件中的任何一个:1.apk中的AndroidManifest.xml文件中的Applicat... 阅读全文
摘要:
一、装饰模式定义装饰模式定义:Attach additional responsibilities to an object dynamically keeping the same interface. Decoators provide a flexible alternative to sub... 阅读全文
摘要:
即使设备没有root,我们也可以通过物理访问设备来获取应用程序的数据,我们还可以通过此方法改变一个应用程序的数据。如果一个应用程序将数据存储在客户端, 使用简单的密码或pin检查,攻击者有可能使用这种方法来绕过这些检查。在本文中,我们将讨论如何在一台没有root的设备上利用这种方法来改变应用程序特定 阅读全文
摘要:
工作需要实现一个查找出指定目录下md5值与excel表格中md5值相同的文件然后删掉的功能。我是这样做的:首先遍历指定目录,计算该目录下所有文件的md5值,以文件路径为key,md5值为value保存到一个字典中;然后读取excel表格中的md5,查看字典中的value是否包含该md5,如果包含... 阅读全文
摘要:
Android 系统的rom最主要的就是3个文件:boot.img、system.img、userdata.img。其中boot.img 存放着内核以及Android系统的配置信息,比如android系统各文件夹的读写权限,adb 的权限。所以如果你要修改文件夹的写权限,adb的root权限,修改b 阅读全文