Android权限安全(8)ContentProvider基于URI的安全

最新推荐文章于 2022-11-14 10:27:29 发布
最新推荐文章于 2022-11-14 10:27:29 发布
阅读量290 收藏
点赞数
文章标签: 移动开发
原文链接:http://www.cnblogs.com/sjjg/p/4773928.html
版权

一.provider可以通过binder得到客户的uid,然后进程权限检查.

 

二,provider临时权限

  场景:    

     Email的内容在provider中提供,Email的客户端可读基其内容,现在一封email 有附件,需要启动另一个Pdf客户端来读它的内容,

     这时Pdf客户端就需要Email客户端给它一个临时仅限.

  

  解决方式:

     临时委派使得委托者的权限临时提升(类似Root-setUID模式)如下:


  1,provider定义临时权限,并允许使用者将权限临时给第三者
    android:grantUriPermissions="true"  是开启临时权限.

   如: 

    

 1      <provider 
 2             android:name="XXX"
 3             android:writePermission="XXX" 
 4             android:grantUriPermissions="true">
 5             
 6             <grant-uri-permission android:path="/attachments/"/>    <!-- 路径 -->
 7             <grant-uri-permission android:pathPrefix="/messages/"/> <!-- 某前缀 -->
 8             <grant-uri-permission android:pathPattern=".*public.*"/><!-- 正则表达式 -->
 9             
10       </provider>

 

  2,使用者b使用权限把对它的临时权限传给另一个第三者c,有两种方法,第二个常用,
    api:

    
     intent: 常用
      注意,如果使用者2在它的activity生命周期内启动了另一个线程,那么会产生无法访问.

    

转载于:https://www.cnblogs.com/sjjg/p/4773928.html

banyinlve3147
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
URI, HTTP 与 HTML安全问题
09-17
介绍URI, HTTP 与 HTML的基本组成,以及各个组成部分存在的各种安全问题,最后介绍了脚本的利用 function handleResponse() { alert('this function is called from server.html') } make RPC call
第十一天ContentProvider 系统URI
shuai_ge_feng的博客
07-16 1498
ContentProvider 系统URI案例一,获取手机联系人,展现在ListView中并存储到数据库中案例二,获取手机短信 案例一,获取手机联系人,展现在ListView中并存储到数据库中 (1)添加获取手机联系人的权限 <uses-permission android:name="android.permission.WRITE_CONTACTS"></uses-p...
Android安全检测-Content Provider SQL注入风险
qq_35993502的博客
10-27 2843
这一章我们来学习“ content provider SQL注入风险”。 漏洞原理 首先,我们需要知道的是来自用户的输入都是不安全的,我们需要对其进行校验,当校验通过时我们可以近似的认为是安全,那这与我们这一章有什么关系呢,其实SQL注入的发生就是源于用户的不规范输入所导致的(当然若发生了注入情况这也是程序本身的问题),若在程序中未校验用户输入的SQL条件,用户就可以构造一些SQL命令,那么就会导致SQL注入的发生。content provider SQL注入漏洞产生的因如下: content provi
Android学习笔记(四八):提供自己的Content Provider
kerlubasola
05-18 164
在上一次的学习中,采用了原生的内容提供者Contact,Contact有多层映射关系,比较复杂,并非作为小例子的好选择,在本次学习中,我们将学习如何建立Content Provider,并通过Uri进行增删改查。如果应用的数据只需自己使用,并不需要content provider,相反避免这样做,可直接访问数据;但是若希望数据可以被其他应用访问,创建content provider就是常规手段...
Android静态安全检查(七):Content Provider文件目录遍历漏洞
不忘初心的专栏
07-08 2080
漏洞描述Android应用的Content Provider存在文件目录遍历的漏洞,如果一个暴露的Content Provider组件(Android静态安全检查(一):组件暴露),没有组件的访问进行权限控制和对访问的目标文件的Content Query URI进行有效的判断,攻击者利用该暴露的组件的openFile()接口,进行文件目录遍历,可能导致隐私泄露。检测方法针对所有的openFile方...
Android开发教程之ContentProvider数据存储
08-31
ContentProvider基于URI机制,提供了一套标准的API,使得数据的读写操作类似于数据库操作,但更为抽象和统一。 首先,ContentProvider的核心是实现一个抽象类`ContentProvider`,并覆盖其中的关键方法,如`query()`...
Android知识点ContentProvider篇.pdf
01-04
6. **安全权限控制**:ContentProvider允许设置访问权限,以控制哪些应用可以读写数据。这通过AndroidManifest.xml中的权限声明实现。 通过以上步骤,开发者可以在Android应用间安全、高效地共享数据。...
Android内容提供者ContentProvider用法实例分析
09-02
- 为了保护数据安全,可以在AndroidManifest.xml中为ContentProvider添加权限声明,限制其他应用对数据的访问。 8. **使用ContentResolver进行数据操作**: - 其他应用可以通过`ContentResolver`与...
Android第八章ContentProvider
11-28
ContentProvider作为Android中的数据桥梁,它遵循统一的接口标准,允许应用程序安全地读写私有数据,同时也提供了一种方式让其他应用能够查询、插入、更新或删除这些数据。ContentProvider通常用于存储和管理结构化...
Android 自定义ContentProvider简单实例
08-30
"Android 自定义ContentProvider简单实例" Android 自定义ContentProvider简单实例主要介绍了Android 自定义ContentProvider简单实例的相关资料,需要的朋友可以参考下。Android 允许我们定义自己的ContentProvider...
Android静态安全检测 -> Content Provider文件目录遍历漏洞
4lwin博客
07-08 2766
Content Provider文件目录遍历漏洞 - openFile方法 1. API ContentProvider.openFile(Uri uri, String mode) 第一参数:指向被打开的目标文件 第二参数:文件的访问模式 r 表示只读(read-only) rw 表示读写(read and write) rwt 表示读写防删除
Android安全机制
热门推荐
其实并不难,是你太悲观
11-22 2万+
根据android四大框架来解说安全机制   代码安全 java不同于C/C++,java是解释性语言,存在代码被反编译的隐患; 默认混淆器为proguard,最新版本为4.7; proguard还可用来压缩、优化java字节码,删除无用的类、字段、方法、属性、注释等。 配置方法为在Android.mk中设置LOCAL_PROGUARD_FLAG_FILES
Android各版本新特性
h_bpdwn的博客
01-06 3620
Android 各版本新特性 一:介绍 我们可以看到Android版本对应的Api版本二:Android 6.0 Google I/O 2015大会如约已于2015年5月28日举行。在发布会上代号为“Marshmallow(棉花糖)”的安卓6.0系统正式推出。 Android 6.0 的API级别:23 新特性:1.运行时权限(最主要) 此版本引入了一种新的权限模式,用户可直接在运行时管理应用权限。 对于以 Android 6.0(API 级别 23)或更高版本为目标平台的应用,请务必在运行时检查和请求权
ContentProvider 属性介绍
u012514113的专栏
11-14 1491
Android ContentProvider 属性介绍
Android 7.0 权限变更
code_dream_wq的博客
10-16 543
https://blog.csdn.net/growing_tree/article/details/71190741 https://www.jianshu.com/p/55eae30d133c https://blog.csdn.net/soslinken/article/details/70145354     &lt;!--记得加这个,不然依然报错 标签是官方文档上没有说明的,...
ContentProvider openFile接口目录遍历漏洞
道阻且长,行则将至。
05-29 3366
文章目录漏洞原理漏洞程序攻击程序漏洞防御 漏洞原理 Android ContentProvider 组件 openFile 接口存在文件目录遍历安全漏洞,该漏洞源于对外暴露 Content Provider 组件的应用,没有对 Content Provider 组件的访问进行权限控制和对访问的目标文件的 Content Query Uri 进行有效判断,攻击者利用该应用暴露的 Content Provider 的 openFile() 接口进行文件目录遍历以达到访问任意可读文件的目的。 openFile()
学习记录:android GrantUriPermission
卦星的专栏
09-17 1万+
android GrantUriPermission 实例 1,背景         关于Provider,作为数据存储一直是安全性问题比较多的地方,比如worldreadable,openfile,uri-path等,关于前面的情况,基本上有很多案例,这里就不在多说,一直以来关于GrantUriPermission在心头是个小病,并且没有亲手实践过(平时看代码比较多,偶尔动手写就会比较生
Android Permission详解
thewebcode
04-07 371
Android系统构造在Linux系统之上,因此它采用了和Linux类型的权限隔离机制,也就是说,每个应用使用独立的系统标识(组标识加用户标识)来运行。部分系统应用也使用某个系统标识独立开来。底层的Liunx系统从而使得不同应用之间以及应用和系统之间隔离开来。 Android通过Permission(权限)机制进一步强化系统安全,通过Permssion来限制某个进程可以执行的操作,为访问某些特定的...
AndroidManifest.xml文件详解(grant-uri-permission)
编程资料大全
05-13 935
语法(SYNTAX): &lt;grant-uri-permissionandroid:path="string" android:pathPattern="string" android:pathPrefix="string"/&gt; 被包含于(CONTAINED IN) &lt;provider&gt; 说明(DESCRIPTI...
Android四大组件-ContentProvider
最新发布
07-28
ContentProviderAndroid四大组件之一,用于实现不同应用程序间的数据共享。...需要注意的是,为了保护数据的安全性和隐私,开发者可以对ContentProvider进行权限控制,只允许特定的应用程序进行访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值