android 代码检测发现的漏洞

最新推荐文章于 2022-01-16 08:30:00 发布
最新推荐文章于 2022-01-16 08:30:00 发布
阅读量528 收藏
点赞数
文章标签: 移动开发 数据库
原文链接:https://my.oschina.net/u/3337991/blog/1813659
版权
  • 访问控制:Android Provider

 每个访问数据库的查询都必须遵守策略(不允许用户在没有取得相应权限的情况下获取或修改数据库中的记录),这可以通过把当前获得授权的用户名包括在查询语句内来实现

getContentResolver().insert(Uri.parse("content://sms"),values);

上面代码时将发送的短信插入数据库,Android5.0已经不允许进行该操作(还是可以获取短信列表的)

  • Android Bad Practices: Missing Broadcaster Permission缺少广播者权限

防止应用内部的广播不能轻易的发送到外部应用中,或者应用内部不轻易的接收外部广播,加上安全权限访问还是有必要的

第一步:自己定义权限,并且使用自定义权限

<uses-permission android:name="com.internettaxtxl.permissions.MY_BROADCAST" />
    <permission
        android:name="com.internettaxtxl.permissions.MY_BROADCAST"
        android:protectionLevel="signature" >
    </permission>

第二步:定义注册广播

private static final String BROADCAST_PERMISSION_DISC = "com.cn.customview.permissions.MY_BROADCAST";
    

registerReceiver(sendMessage, new IntentFilter(SENT_SMS_ACTION),BROADCAST_PERMISSION_DISC,null);
private BroadcastReceiver sendMessage = new BroadcastReceiver() {

        @Override
        public void onReceive(Context context, Intent intent) {
            //判断短信是否发送成功
            switch (getResultCode()) {
            case Activity.RESULT_OK:
                Toast.makeText(context, "短信发送成功", Toast.LENGTH_SHORT).show();                
                break;
            default:
                Toast.makeText(DuanXin.this, "短信发送失败", Toast.LENGTH_LONG).show();
                break;
            }
        }
    };

第三步: 发送广播

Intent intent = new Intent();  
intent.setAction(BROADCAST_ACTION_DISC);  
sendBroadcast(intent,BROADCAST_PERMISSION_DISC);   //发送广播

注意: 
registerReceiver(receiveBroadCast, filter,BROADCAST_PERMISSION_DISC,null);

如果改为registerReceiver(receiveBroadCast, filter);

照样能够收到第三步发送的消息,因为我们在xml里面已经申请了BROADCAST_PERMISSION_DISC权限,所以sendBroadcast(intent,BROADCAST_PERMISSION_DISC);发送广播我们依然能收到。 
sendBroadcast(intent,BROADCAST_PERMISSION_DISC); 改为sendBroadcast(intent);也同样能收到这个消息。

因为第一个的意思是收到这个消息的广播监听器必须有BROADCAST_PERMISSION_DISC权限,如果第二个参数去掉,则说明广播监听器不需要任何权限就能收到这个消息。

  • Cross-Site Scripting (XSS)

http://www.cnblogs.com/loveis715/archive/2012/07/13/2506846.html

  •  

转载于:https://my.oschina.net/u/3337991/blog/1813659

cheyan9551
关注
MySQL(二)数据库管理与用户权限
qq_59562051的博客
10-25 632
目录 一、常用数据类型 1、MySQL数据库的数据文件 二、查看数据库结构 三、SQL语句概述 1、数据定义语言DDL 2、数据操纵语言DML 3、数据查询语言DQL 4、数据控制语言DCL 5、其它应用 四、数据表高级操作 1、克隆表 2、清空表,删除表内的所有数据 3、创建临时表 五、数据库用户管理 1、MySQL中种常见的约束/规则 2、主键表和外键表的理解 3、数据库用户管理 4、忘记MySQL数据库root用户的密码的解决办法 六、数据库用户授权 1、授
部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
android 漏洞测试,android 代码检测发现漏洞
weixin_39887221的博客
05-26 168
访问控制:Android Provider每个访问数据库的查询都必须遵守策略(不允许用户在没有取得相应权限的情况下获取或修改数据库中的记录),这可以通过把当前获得授权的用户名包括在查询语句内来实现getContentResolver().insert(Uri.parse("content://sms"),values);上面代码时将发送的短信插入数据库Android5.0已经不允许进行该操作(还...
Missing permissions required by ConnectivityManager.getActiveNetworkInfo: android.permission.ACCESS_
那朵花的博客
12-21 1万+
在学习Android的广播接收器的时候,监听网络变化,告知用户是有网络还是无网络。 在onReceive方法中调用getActiveNetworkInfo()时报错 报错信息:Missing permissions required by ConnectivityManager.getActiveNetworkInfo: android.permission.ACCESS_NETWORK_ST...
android 广播的权限,android广播指定权限
weixin_31939167的博客
05-25 2639
1.自己发送的广播,只有指定的app才能接收(通过权限设置)//sender app1.在Androidmanifest.xml中声明新的权限:android:name="com.self.permission.recv_broadcast"android:protectionLevel="normal"/>2.发送广播时,指定权限:sendBroadcast("com.xxx.xxx.a...
android漏洞检测工具,Android漏洞检测——模糊测试
weixin_31119221的博客
05-25 1035
前言Android在目前的市场上占有率很高,用户数量庞大,而在该平台下的应用程序开发成本低,开发难度低,发布容易,缺少监管和审查,导致大量低质量App流入市场,这些App由于开发者缺乏安全编程技能或缺乏测试和审查,可能存在着一些严重的漏洞,对用户的隐私以及财产安全造成巨大风险。因此,移动应用尤其是Android平台下的应用的开发应该对此引起高度重视。Android常见漏洞越权绕过:没有对调用act...
Android FakeID任意代码注入执行漏洞简析.pdf
09-18
Android FakeID漏洞是一个严重的安全漏洞,它影响了Android系统的应用签名机制,允许恶意应用程序通过伪造证书进行代码注入并执行恶意操作。这一漏洞由国外安全机构BlueBox于2014年7月30日公布,涉及到的受影响系统...
基于控制流挖掘的Android系统代码漏洞分析1
08-04
本文主要关注的是基于控制流挖掘技术对Android系统的内核代码进行深度分析,以检测潜在的安全漏洞。控制流挖掘是一种程序分析方法,它能够揭示程序执行路径,帮助识别可能的错误或不安全的行为。 在Android系统中,...
Android系统签名的漏洞分析与检测.pptx
最新发布
10-15
1. 代码检查:对Android系统源代码进行检查,特别是与签名相关的代码,以发现可能存在的漏洞。 2. 日志分析:通过分析系统日志,检查是否存在异常的签名操作或与签名相关的错误信息。 3. 文件检查:检查系统文件中...
Android安全之WebViewUXSS漏洞
09-21
### Android安全之WebViewUXSS漏洞详解 #### 0X01 前言:XSS与UXSS概览 在网络安全领域,XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的攻击手段,它允许攻击者通过注入恶意脚本到网页中来窃取用户的数据...
Android网络编程中运行报错:java.lang.SecurityException: Permission denied (missing INTERNET permission?)的解决方法
雨落i的博客
01-16 2653
运行报错:java.lang.SecurityException: Permission denied (missing INTERNET permission?)
Android BroadcastBroadcastReceiver的权限限制
热门推荐
WJ S的专栏
03-09 4万+
Android应用开发中,有时会遇到一下两种情况, 1. 有一些敏感的广播并不想让第三方的应用收到 ; 2. 是想要限制自己的Receiver接收某广播来源,避免被恶意的同样的ACTION的广播所干扰。 在这些场景下就需要用到广播的权限限制。 第一种场景: 谁有权收我的广播? 在这种情况下,可以在自己应用发广播时添加参数声明Receiver所需的权限。 首先,在Android
android 广播的权限,Android BroadcastBroadcastReceiver的权限限制方式
weixin_30716611的博客
05-25 1397
Android应用开发中,有时会遇到以下两种情况,1. 一些敏感的广播并不想让第三方的应用收到 ;2. 要限制自己的Receiver接收某广播来源,避免被恶意的同样的ACTION的广播所干扰。在这些场景下就需要用到广播的权限限制。第一种场景: 谁有权收我的广播?在这种情况下,可以在自己应用发广播时添加参数声明Receiver所需的权限。首先,在Androidmanifest.xml中定义新的权限...
广播注册和添加权限过滤广播
行走在路上
01-28 4423
android的权限级别: 通常情况下,对于需要付费的操作以及可能涉及到用户隐私的操作,我们都会格外敏感。 出于上述考虑以及更多的安全考虑,Android中对一些访问进行了限制,如网络访问(需付费)以及获取联系人(涉及隐私)等。应用程序如果想要进行此类访问,则需要申请相应权限。Android对这些权限进行了四类分级,不同级别的权限对应不同的认证方式。 normal:低风险权限,只要申请了就
android广播指定权限
weixin_34122604的博客
07-30 2098
1.自己发送的广播,只有指定的app才能接收(通过权限设置)//sender app1.在Androidmanifest.xml中声明新的权限:<permissionandroid:name="com.self.permission.recv_broadcast"android:protectionLevel="normal"/>2.发送广播时...
Android Lint常见问题分析(for studio)
Jarlen的专栏
02-14 5627
Android Lint常见问题分析(for studio) Android Lint常见问题分析for studio Android android resource Validation Android XML root tag validation Missing JNI function onClick handler is missing in the related activity A
Android Permission denied 错误 ( 附Android权限大全 )
chen825919148的专栏
05-02 2524
java.net.SocketException: Permission denied (maybe missing INTERNET permission) 这是一个经典错误, Socket不能对外连接,错误不会被报出,调试的时候,能看到Exception, 这个Exception会有很多变体。 Android默认不允许访问网络,所以,在AndroidManifest.xml中,需要
Android各种访问权限Permission详解
一个Android开发工程师日志
01-09 1525
Android各种访问权限Permission详解 在Android的设计中,资源的访问或者网络连接,要得到这些服务都需要声明其访问权限,否则将无法正常工作。在Android中这样的权限有很多种,这里将各类访问权限一一罗列出来,供大家使用时参考之用。 android.permission.EXPAND_STATUS_BAR  允许一个程序扩展收缩在状态栏,android开发网提示应该是一
Android添加广播权限限制
哈罗德Android笔记
12-08 2469
发送广播时,除了通过 Action 筛选 Receiver,还可以限制只有具有某种权限的应用才能接收。 接收广播接时,除了通过 Action 筛选广播,还可以限制只接收具有某种权限的应用发送的广播。
Android WebView远程代码执行漏洞详解与影响
本文将深入探讨Android中WebView远程代码...- **定期安全审计**:定期进行安全测试,及时发现和修复潜在漏洞。 通过理解和应用这些措施,开发者可以有效降低WebView远程代码执行漏洞的风险,保障用户的安全与隐私。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值