Android diva 分析(全)

本文详细分析了Android应用的安全问题,包括不安全的日志记录、硬编码问题、不安全的数据存储(涉及SharedPreferences和SQLite数据库)、输入验证不足以及访问控制缺陷。通过实例展示了如何利用这些漏洞获取敏感信息,强调了对这些问题进行安全审查的重要性。
摘要由CSDN通过智能技术生成

Android-DIVA分析

1. Insecure Logging

主要是由于app代码中将敏感信息输出到app的logcat中,查看app记录的logcat

adb shell ps| grep -i diva
adb shell logcat | grep 1012

这里写图片描述
在diva中输入数字1111222233334444 测试:输出纯文本显示应用程序的信息
这里写图片描述

2.Hardcoding Issues

使用了硬编码的方式,导致存在一定的安全风险
这里写图片描述
这里写图片描述
这里写图片描述

3.Insecure Data Storage-Part1

不安全的数据存储也是App常见的安全问题之一,主要有三种方式:
1,将敏感数据保存到配置文件中;
2,将敏感数据保存在本地的sqlite3数据库中;
3,将敏感数据保存在临时文件或者sd卡中。

源码:InsecureDataStorage1Activity
这里写图片描述
/data/data/jakhar.aseem.diva(包的名称) shared_prefs 文件夹中找到:-检查内容:-打开.xml文件,找到用户先前引入的凭据:SharedPreferences类存储的数据会以.xml的形式存储在/data/data/apppackagename/shared_prefs
这里写图片描述

4.Insecure Data Storage-Part2

用户的敏感信息存储到本地的数据库中,一般app对应的数据库目录:/data/data/apppackagename/databases
这里写图片描述
打开文件夹,有许多不同的数据库。
我们可以尝试其中任何一个,直到找到有趣的信息 但是,为了简单起见,我们直接转到ids2:- Android使用 sqlite 数据库管理系统:- ids2数据库中有2个表:- 从表myuser中选择所有内容,我们找到用户引入的凭据

5.Insecure Data Storage-Part3

/data/data/jakhar.aseen.diva/零时数据 uinfotemp

这里写图片描述

这里写图片描述

这里写图片描述

6.Insecure Data Storage-Part4

原目录查看,InsecureDataStorage4Activity 发现函数getExternalStorageDirectory()及uinfo.txt
这里写图片描述

这里写图片描述

7.Input Validation Issues-Part1

//SQLInjectionActivity
package jakhar.aseem.diva;
import android.database.Cursor;
import android.database.sqlite.SQLiteDatabase;
import android.support.v7.app.AppCompatActivity;
import android.os.Bundle
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值