随笔分类 - Mobile Security
APK
摘要:4.1 smali 基础 1、注释 smali中使用#来代表注释一行例如:# const-string v0, "aaa" #这句不会被执行 2、数据类型 V void,只能用于返回值类型Z booleanB byteS shortC charI intJ long(64位)F floatD dou
阅读全文
摘要:3.1 数据存储漏洞 用户经常会把敏感数据交给app,比如:用户名and密码认证令牌联系人记录通信记录历史使用记录..... 只要愿意,app可以收集这些用户的隐私和个人信息明文存储或明文传输,通常保存在本地,也不排除上传到网络• 本地保存• 网络保存 本地保存 • SharedPreference
阅读全文
摘要:2.1 Android系统架构 1、应用程序层 平时所见的一些java为主编写的App 2、应用程序框架层 应用框架层为应用开发者提供了用以访问核心功能的API框架 android.app:提供高层的程序模型和基本的运行环境。 android.content:包含对各种设备上的数据进行访问和发布。
阅读全文
摘要:Santoku 移动渗透测试中的菜刀 下载:http://santoku-linux.com/download/ 预览: 安装JADX 首先需要安装Java8,这里安装为open-jdk8 $ sudo add-apt-repository ppa:openjdk-r/ppa $ sudo apt-
阅读全文
摘要:01)概述: 关于APP漏洞检测,分为两个层面的安全检测,包括手机应用层,以及APP代码层,与网站的漏洞检测基本上差不多,目前越来越多的手机应用都存在着漏洞,关于如何对APP进行漏洞检测,我们详细的介绍一下. APP代码: 代码加密解密,反混迹调试,模式器安装 APP应用: 跟网站漏洞检测是一样的,
阅读全文
摘要:代码混淆、针对不同逆向工具保护技术、增加逆向难度(java代码native化)、动态加载技术、代码验证技术 代码混淆: 工具:proguard 常用操作:保留选项、压缩、优化、混淆。 功能: 混淆代码(注意使用混淆文件的时候需加入自己的具体操作以防程序无法运行) 删除无用Log:可删除调试和分析代码
阅读全文
摘要:一. drozer简介 drozer(以前称为Mercury)是一款Android安全测试框架。 drozer允许您通过承担应用程序的角色并与Dalvik VM,其他应用程序的IPC端点和底层操作系统进行交互来搜索应用程序和设备中的安全漏洞。 drozer提供工具来帮助您使用,共享和理解公共Andr
阅读全文
摘要:Android 应用程序拆解 Android 应用程序是在开发应用程序时创建的数据和资源文件的归档文件。 Android 应用程序的扩展名是.apk,意思是应用程序包,在大多数情况下包括以下文件和文件夹: Classes.dex (文件) AndroidManifest.xml (文件) META-
阅读全文
浙公网安备 33010602011771号