Sally Zhang

摘要： SQLite是一款轻量级的关系型数据库，运算速度快，占用资源少，特别适合在移动设备上使用，安卓内置了SQLite数据库 重新建一个工程，自己新建一个SQLite数据库，给新的数据库命名为BookStore.db 运行一下，点创建数据库按钮 查看/data/data/com.example.dbtes 阅读全文

摘要： SharedPreferences是一个轻量级的存储类，通常用来存储应用的配置信息，采用键值对的方式存储数据，且支持多种数据类型。 话不多说，练起来~ 修改一下代码，将测试用的APP的数据存储到SharedPreferences中 运行起来，点一下按钮存储数据 打开android device mo 阅读全文

摘要： 敏感信息安全主要检查客户端是否保存明文（或者容易被破解）的敏感信息，以及敏感信息的非授权访问。 目前安卓实现数据持久化的方式有4种：文件存储、SharedPreferences存储、数据库存储、SD卡存储。因此咱们得先学习下安卓的数据存储（持久化）相关的知识。本着光说不练假把式，只看不练一用就废的原 阅读全文

摘要： 破坏完整性实验 完整性校验的目的就是防止Android客户端程序被篡改/二次打包，下面以篡改资源文件为例来做实验： 1. apk解包 解包命令：java -jar apktool_2.5.0.jar d exampleapp.apk -o out 解包结果： 2. 修改源文件 找到first_lay 阅读全文

摘要： 1.仅前端判断文件类型 function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!" 阅读全文

摘要： 这段时间在看安卓方面的东西，hmmm....安卓手机。。倒是一直在用，华为铁粉，从诺基亚之后就一直是华为了，顺便吐槽下P30的相机，说好的莱卡相机呢。。。难道是我不会用。。。>_< 反正除了会用安卓手机，安卓其他方面的东西一窍不通，嗯，就这样开始学安卓安全测试，真正的从零开始。。。 目前看了两本书 阅读全文

摘要： 最近在测APP，直接用手机多有不便，就下了Genymotion来用，Genymotion联网和设置代理又搞了半天，因此记录下来，以便以后查阅。 1. 安装好Genymotion和Virtualbox，我在Genymotion下的是Huawei P30 2. 模拟器网络配置 我测试的app后端需要连接 阅读全文

摘要： drozer是一款Android漏洞利用和安全评估框架。在drozer问世前，编写app的漏洞利用代码，得编译一个Android app，然后部署到手机上，如果要修改，得再编译部署一次。而drozer解决了这个问题，drozer通过drozer agent这个代理，像设备发送命令用来测试漏洞利用代码 阅读全文

摘要： 1.<script>alert(1);</script> 2.显示文字区域过滤了<>，但是input没有过滤，payload："><script>alert(1);</script> 3.显示文字区域和input都过滤了<>，payload：'onclick='javascript:alert(1) 阅读全文

摘要： 1. <script>alert(document.domain)</script> 2. 先闭合input标签，再加入脚本："><script>alert(document.domain)</script> 4. 可以利用参数p3：p1=11&p2=Japan&p3="><script>alert 阅读全文