Android diva 分析(全)

最新推荐文章于 2023-04-22 17:10:09 发布
VIP文章 最新推荐文章于 2023-04-22 17:10:09 发布
阅读量987 收藏
点赞数
分类专栏: RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/everywhere_wwx/article/details/82256421
版权

Android-DIVA分析

1. Insecure Logging

主要是由于app代码中将敏感信息输出到app的logcat中,查看app记录的logcat

adb shell ps| grep -i diva
adb shell logcat | grep 1012

这里写图片描述
在diva中输入数字1111222233334444 测试:输出纯文本显示应用程序的信息
这里写图片描述

2.Hardcoding Issues

使用了硬编码的方式,导致存在一定的安全风险
这里写图片描述
这里写图片描述
这里写图片描述

3.Insecure Data Storage-Part1

不安全的数据存储也是App常见的安全问题之一,主要有三种方式:
1,将敏感数据保存到配置文件中;
2,将敏感数据保存在本地的sqlite3数据库中;
3,将敏感数据保存在临时文件或者sd卡中。

源码:InsecureDataStorage1Activity
这里写图片描述
/data/data/jakhar.aseem.diva(包的名称) shared_prefs 文件夹中找到:-检查内容:-打开.xml文件,找到用户先前引入的凭据:SharedPreferences类存储的数据会以.xml的形式存储在/data/data/apppackagename/shared_prefs
这里写图片描述

4.Insecure Data Storage-Part2

用户的敏感信息存储到本地的数据库中,一般app对应的数据库目录:/data/data/apppackagename/databases
这里写图片描述
打开文件夹,有许多不同的数据库。
我们可以尝试其中任何一个,直到找到有趣的信息 但是,为了简单起见,我们直接转到ids2:- Android使用 sqlite 数据库管理系统:- ids2数据库中有2个表:- 从表myuser中选择所有内容,我们找到用户引入的凭据

5.Insecure Data Storage-Part3

/data/data/jakhar.aseen.diva/零时数据 uinfotemp

这里写图片描述

这里写图片描述

这里写图片描述

6.Insecure Data Storage-Part4

原目录查看,InsecureDataStorage4Activity 发现函数getExternalStorageDirectory()及uinfo.txt
这里写图片描述

这里写图片描述

7.Input Validation Issues-Part1

//SQLInjectionActivity
package jakhar.aseem.diva;
import android.database.Cursor;
import android.database.sqlite.SQ
最低0.47元/天 解锁文章
Flemington、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DIVA(Damn insecure and vulnerable App)
09-22
DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞的Android app,目的是为了让开发、安工程师、QA等了解Android app常见的一些安问题,类似dvwa,也可以把它当成一个漏洞演练系统。
浅谈$(‘div a’) 与$(‘diva’)的区别
01-19
浅谈$(‘div a’) 与$(‘div>a’)的区别 $(‘div a’):div标签下所有层次a元素的jquery对象 $(‘div>a’):div标签下子元素层次a元素的jquery对象 以上这篇浅谈$(‘div a’) 与$(‘div>a’)的区别就是小编分享给大家的部内容了,希望能给大家一个参考,也希望大家多多支持软件开发网。
(二)Thanos:最prometheus+thanos+minio S3持久化对象存储+exporter+grafana+alertmanager集群+webhook告警通知监控架构搭建
Kammingo的博客
02-22 1万+
一、环境介绍 1、IP分布 master1:192.168.120.200—Prometheus服务端 Prometheus+Node_exporter+Thanos+Grafana master2:192.168.120.201—Prometheus服务端 Prometheus+Node_exporter+Thanos agent:192.168.120.203—客户端 2、所需软件及版本 prometheus-2.5.0、thanos-0.17.2、node_exporter-0.16.0、grafan
prometheus 监控mysql数据库
热门推荐
bearboy80的专栏
01-22 1万+
prometheus 监控mysql数据库
OWASP: Insecure Direct Object References
拾月公子
12-23 545
OWASP: Insecure Direct Object References
【技术分享】Android App常见安问题演练分析系统-DIVA-Part1
SAKAISON的博客
09-22 2614
只有我看到DIVA的时候想到的是D.VA嘛?!滑稽脸 I. 什么是DIVA DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞的Android app,目的是为了让开发、安工程师、QA等了解Android app常见的一些安问题,类似dvwa,也可以把它当成一个漏洞演练系统。 为了使用DIVA熟悉各种常见的
通过DIVA了解APP安问题
不光要学,知识要能说出口
12-01 2062
目录目录 导语 DIVA 不安日志输出 Insecure Logging 不安的数据存储 Insecure Data Storage -Part1 Insecure Data Storage -Part2 Insecure Data Storage -Part3 Insecure Data Storage -Part4 硬编码 Hardcoding Issues -Part1 Hardcodin
DIVA靶场测试APP客户端不规范项(一)
LiBai'S BLOG
03-26 1万+
DIVA了解APP安问题 DIVA DIVA (Damn insecure and vulnerable App),是一个故意设计为身漏洞的APP软件,它能让开发人员、QA、安人员了解到APP软件一般存在的问题。 https://github.com/payatu/diva-android 不安日志输出 开发人员有意或无意地记录敏感信息(如凭据,会话ID,财务详细信息等) Insecure Logging 我们输入的数字”123456789”,使用adb logcat 命令可以看到 E/div
Android Data Storage --- Android 数据存储
stevenliyong 的专栏
08-28 2700
Android 系统中,所有应用程序数据都是私有的,任何其他应用程序都是无法访问的。 1. 如何使得应用程序的数据可以被外部访问呢?    答案是使用android 的content provider 接口,content provider 可以使应用程序的私有数据暴露给其它application.    有两种选择来暴露application data,一种是建立自己的conte
DIVA靶场测试APP客户端不规范项(二)——硬编码
LiBai'S BLOG
03-28 1万+
DIVA了解APP安问题硬编码Hardcoding Issues -Part1Hardcoding Issues -Part2 硬编码 某些需要比较字符串的值为硬编码,如:激活码 加密的key或者salt为硬编码,如MD5的salt Hardcoding Issues -Part1 这里直接查看源码就知道答案 HardcodeActivity.class if (((EditText)findViewById(2131492987)).getText().toString().equals(
DIVA系列前期环境
per_se_veran_ce的博客
11-20 1378
DIVA (Damn insecure and vulnerable App) 是一个移动安测试app,为了给开发者,安专家等研发的演示学习程序,这些应用中的漏洞是由于弱的或不安的开发导致的。 1、jdk,java环境 2、夜神模拟器下载安装 3、下载diva安装文件 http://payatu.com/wp-content/uploads/2016/01/diva-beta.tar....
DIVA-GIS 使用说明
01-04
DIVA GIS 5 学习笔记 C3P项目学习——以地图制作为主 分类和连续图例
diva75.rar
05-15
DIVA-GIS是一个免费的地理信息系统软件程序,用于分析地理数据,特别是生物多样性的点数据,DIVA-GIS最初是为应用于南美野生土豆的研究而设计的。
android-diva-fitness-user
03-16
android-diva-fitness-user
caone.diva17完整安装包
最新发布
01-26
caone.diva17完整安装包,注意是diva的不是canoe的,canoe17需要另行安装
Diva 验证工具使用说明
12-09
版图绘制要根据一定的设计规则来进行,也就是说一定要通过DRC(Design RuleChecker)检查。编辑好的版图通过了设计规则的检查后,有可能还有错误,这些错误不是由于违反了设计规则,而是可能与实际线路图不一致造成...
DIVA-GIS中文说明书
03-07
DIVA-GIS Word格式可编辑
Android--InsecureBankV2实战
lanyef的专栏
10-28 1910
0x01 基本信息 项目地址:https://github.com/dineshshetty/Android-InsecureBankv2 默认账号:dinesh/Dinesh@123$ or jack/Jack@123$ 涉及漏洞: Flawed Broadcast Receivers Intent Sniffing and Injection Weak Authorizatio...
轻松掌握K8S目录持久卷PV/PVC的kubectl操作知识点04
轻松入门网
04-22 2321
轻松掌握K8S目录持久卷PV/PVC的kubectl操作知识点04
Diva12.0安装
08-16
Diva 12.0 是一种音频处理软件,安装步骤如下: 1. 首先,确保你的计算机满足 Diva 12.0 的系统要求。通常,要求包括操作系统版本、处理器类型和速度、内存和磁盘空间等。你可以在 Diva 12.0 的官方网站或文档中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值