Android diva 分析(全)

最新推荐文章于 2022-03-28 21:42:11 发布
最新推荐文章于 2022-03-28 21:42:11 发布
阅读量1k 收藏
点赞数
分类专栏: RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Everywhere_wwx/article/details/82256421
版权
本文详细分析了Android应用的安全问题,包括不安全的日志记录、硬编码问题、不安全的数据存储(涉及SharedPreferences和SQLite数据库)、输入验证不足以及访问控制缺陷。通过实例展示了如何利用这些漏洞获取敏感信息,强调了对这些问题进行安全审查的重要性。
摘要由CSDN通过智能技术生成

Android-DIVA分析

1. Insecure Logging

主要是由于app代码中将敏感信息输出到app的logcat中,查看app记录的logcat

adb shell ps| grep -i diva
adb shell logcat | grep 1012

这里写图片描述
在diva中输入数字1111222233334444 测试:输出纯文本显示应用程序的信息
这里写图片描述

2.Hardcoding Issues

使用了硬编码的方式,导致存在一定的安全风险
这里写图片描述
这里写图片描述
这里写图片描述

3.Insecure Data Storage-Part1

不安全的数据存储也是App常见的安全问题之一,主要有三种方式:
1,将敏感数据保存到配置文件中;
2,将敏感数据保存在本地的sqlite3数据库中;
3,将敏感数据保存在临时文件或者sd卡中。

源码:InsecureDataStorage1Activity
这里写图片描述
/data/data/jakhar.aseem.diva(包的名称) shared_prefs 文件夹中找到:-检查内容:-打开.xml文件,找到用户先前引入的凭据:SharedPreferences类存储的数据会以.xml的形式存储在/data/data/apppackagename/shared_prefs
这里写图片描述

4.Insecure Data Storage-Part2

用户的敏感信息存储到本地的数据库中,一般app对应的数据库目录:/data/data/apppackagename/databases
这里写图片描述
打开文件夹,有许多不同的数据库。
我们可以尝试其中任何一个,直到找到有趣的信息 但是,为了简单起见,我们直接转到ids2:- Android使用 sqlite 数据库管理系统:- ids2数据库中有2个表:- 从表myuser中选择所有内容,我们找到用户引入的凭据

5.Insecure Data Storage-Part3

/data/data/jakhar.aseen.diva/零时数据 uinfotemp

这里写图片描述

这里写图片描述

这里写图片描述

6.Insecure Data Storage-Part4

原目录查看,InsecureDataStorage4Activity 发现函数getExternalStorageDirectory()及uinfo.txt
这里写图片描述

这里写图片描述

7.Input Validation Issues-Part1

//SQLInjectionActivity
package jakhar.aseem.diva;
import android.database.Cursor;
import android.database.sqlite.SQLiteDatabase;
import android.support.v7.app.AppCompatActivity;
import android.os.Bundle
最低0.47元/天 解锁文章
Flemington、
关注
专栏目录
DIVA(Damn insecure and vulnerable App)
09-22
DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞的Android app,目的是为了让开发、安工程师、QA等了解Android app常见的一些安问题,类似dvwa,也可以把它当成一个漏洞演练系统。
探索Diva-Android:一个强大的多媒体处理框架
最新发布
gitblog_00029的博客
04-10 303
探索Diva-Android:一个强大的多媒体处理框架 diva-android DIVA Android - Damn Insecure and vulnerable App for Android 项目地址: https://gitcode.com/gh_mi...
通过DIVA了解APP安问题
不光要学,知识要能说出口
12-01 2195
目录目录 导语 DIVA 不安日志输出 Insecure Logging 不安的数据存储 Insecure Data Storage -Part1 Insecure Data Storage -Part2 Insecure Data Storage -Part3 Insecure Data Storage -Part4 硬编码 Hardcoding Issues -Part1 Hardcodin
DIVA靶场测试APP客户端不规范项(一)
LiBai'S BLOG
03-26 1万+
DIVA了解APP安问题 DIVA DIVA (Damn insecure and vulnerable App),是一个故意设计为身漏洞的APP软件,它能让开发人员、QA、安人员了解到APP软件一般存在的问题。 https://github.com/payatu/diva-android 不安日志输出 开发人员有意或无意地记录敏感信息(如凭据,会话ID,财务详细信息等) Insecure Logging 我们输入的数字”123456789”,使用adb logcat 命令可以看到 E/div
DIVA靶场测试APP客户端不规范项(二)——硬编码
热门推荐
LiBai'S BLOG
03-28 1万+
DIVA了解APP安问题硬编码Hardcoding Issues -Part1Hardcoding Issues -Part2 硬编码 某些需要比较字符串的值为硬编码,如:激活码 加密的key或者salt为硬编码,如MD5的salt Hardcoding Issues -Part1 这里直接查看源码就知道答案 HardcodeActivity.class if (((EditText)findViewById(2131492987)).getText().toString().equals(
android-diva-fitness-user
03-16
通过分析源代码,我们可以深入理解Kotlin在Android开发中的应用,学习如何构建一个完整的移动应用,包括UI设计、数据管理、网络请求、用户交互等多个方面。对于想要提升Android开发技能,特别是Kotlin编程的人来说,...
caone.diva17完整安装包
01-26
CAONE.DIVA17是一款专业级的渲染软件,主要用于创建高质量的三维图像和动画。它在视觉效果(VFX)和计算机辅助设计(CAD)领域中广泛应用,为设计师和艺术家提供了一个强大的工具来呈现他们的创意。这个“caone.diva...
DIVA-GIS中文说明书
03-07
DIVA-GIS 是一个免费的计算机程序,用于绘制和分析空间数据,特别适用于分析生物的分布以阐明地理和生态模式。该软件支持矢量、图像和栅格数据类型,并提供了丰富的分析功能,包括绘制丰富度和多样性图、绘制特定...
DIVA-GIS软件说明书
03-04
DIVA-GIS软件在农业领域尤其有用,它可以用于地图制作、生物多样性分析、疾病分布分析等领域。软件提供了一系列的地理信息分析工具,用户可以通过这些工具执行空间数据分析,包括矢量数据和栅格数据的操作。用户还...
Android Data Storage --- Android 数据存储
stevenliyong 的专栏
08-28 2726
Android 系统中,所有应用程序数据都是私有的,任何其他应用程序都是无法访问的。 1. 如何使得应用程序的数据可以被外部访问呢?    答案是使用android 的content provider 接口,content provider 可以使应用程序的私有数据暴露给其它application.    有两种选择来暴露application data,一种是建立自己的conte
浅谈$(‘div a’) 与$(‘diva’)的区别
01-19
浅谈$(‘div a’) 与$(‘div>a’)的区别 $(‘div a’):div标签下所有层次a元素的jquery对象 $(‘div>a’):div标签下子元素层次a元素的jquery对象 以上这篇浅谈$(‘div a’) 与$(‘div>a’)的区别就是小编分享给大家的部内容了,希望能给大家一个参考,也希望大家多多支持软件开发网。
DIVA-GIS 使用说明
01-04
DIVA GIS 5 学习笔记 C3P项目学习——以地图制作为主 分类和连续图例
OWASP: Insecure Direct Object References
拾月公子
12-23 568
OWASP: Insecure Direct Object References
【技术分享】Android App常见安问题演练分析系统-DIVA-Part1
SAKAISON的博客
09-22 2694
只有我看到DIVA的时候想到的是D.VA嘛?!滑稽脸 I. 什么是DIVA DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞的Android app,目的是为了让开发、安工程师、QA等了解Android app常见的一些安问题,类似dvwa,也可以把它当成一个漏洞演练系统。 为了使用DIVA熟悉各种常见的
DIVA系列前期环境
per_se_veran_ce的博客
11-20 1476
DIVA (Damn insecure and vulnerable App) 是一个移动安测试app,为了给开发者,安专家等研发的演示学习程序,这些应用中的漏洞是由于弱的或不安的开发导致的。 1、jdk,java环境 2、夜神模拟器下载安装 3、下载diva安装文件 http://payatu.com/wp-content/uploads/2016/01/diva-beta.tar....
开发者福利:史上最Android 开发和安系列工具
u012424449的博客
02-17 3678
取证工具[bandicoot](https://link.zhihu.com/?target=https://github.com/yvesalexandre/bandicoot "bandicoot")- 一个Python工具箱,用于分析手机元数据。它提供了一个完整,易于使用的环境,数据科学家分析手机元数据。只需几行代码,加载数据集,可视化数据,执行分析和导出结果。 Android Connect
文档布局分析工具之DIVA
年轻即出发,
12-06 1100
论文:Open Evaluation Tool for Layout Analysisof Document Images Github:https://github.com/DIVA-DIA/DIVA_Layout_Analysis_Evaluator IAPR 2017 论文提出了一个文档布局分析的基于像素级别的标注化工具。该评测工具已经在ICDAR 2017 文档布局分...
Android 开发和安系列工具
hzp666的博客
03-02 1240
[阿里聚安出品]史上最Android 开发和安系列工具   作者 菜刀文 关注 2017.02.20 00:08 字数 4554 阅读 725评论 1喜欢 29 作者:阿里聚安 地址:https://zhuanlan.zhihu.com/p/25261296 动态分析工具 Android Hooker - 此项目提供了各种工具和
windows操作系统基础知识 API+DLL
The Road Of Sec
11-30 3986
windows操作系统 API,DLL 消息机制,保护模式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值