Android APP漏洞挖掘

Posted jltxgcy

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android APP漏洞挖掘相关的知识,希望对你有一定的参考价值。

   0x00 

    1、组件公开安全漏洞

    参考Android 组件安全


    2、Content Provider文件目录遍历漏洞

    参考Content Provider文件目录遍历漏洞浅析


    3、androidManifest.xml中AllowBackup安全检测

    参考两分钟窃取身边女神微博帐号?详解Android App AllowBackup配置带来的风险


    4、Intent劫持风险安全检测

    参考Android组件通信过程风险


    5、数据存储安全检测

    参考Android Database配置模式安全风险浅析Android本地数据存储:Internal Storage安全风险浅析Android本地数据存储:Shared Preferences安全风险浅析


    6、拒绝服务攻击安全检测

    参考Android应用本地拒绝服务漏洞浅析


    7、随机数生成函数使用错误

    参考SecureRandom漏洞解析


    8、中间人攻击漏洞

    博客地址:Android 中间人攻击

    

    9、从sdcard加载dex漏洞

    参考外部动态加载DEX安全风险浅析


    10、Activity被劫持风险

    参考Activity劫持实例与防护手段


    11、WebView高危接口安全检测

    博客地址:Android WebView远程代码执行漏洞简析


    12、WebView明文存储密码漏洞

    参考Android中webview缓存密码带来的问题


    13、Android HTTPS中间人劫持漏洞

    参考Android HTTPS中间人劫持漏洞浅析


    14、Webview file跨域访问

    博客地址:Android WebView File域同源策略绕过漏洞浅析


    15、端口开发:主要分析Baidu地图和高德地图,并有漏洞利用代码,展示实际的效果。并且通过反编译smali分析了为什么漏洞利用代码要这么写。博客地址:百度全系APP SDK漏洞–WormHole虫洞漏洞

    

    16、明文存储,明文传输

    如果密码或者聊天记录被明文存储在用户的私有目录,更甚至存储在SD卡上,那就有被泄露的风险。

    如果从用户的密码是通过明文传输给服务器,那有可能通过抓包工具截获后破解。

以上是关于Android APP漏洞挖掘的主要内容,如果未能解决你的问题,请参考以下文章

Android App 安全的HTTPS 通信

Android应用安全之Android APP通用型拒绝服务漏洞

浅谈APP漏洞挖掘之逻辑漏洞

在HTML5移动应用中挖掘XSS漏洞

2022 年度Android最“不可赦”漏洞

读书笔记Android平台的漏洞挖掘和分析