android静态安全检测_四大组件activity

最新推荐文章于 2023-07-03 20:54:13 发布
最新推荐文章于 2023-07-03 20:54:13 发布
阅读量501 收藏
点赞数
分类专栏: 发布 文章标签: 应用 java andriod 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanghanA/article/details/53693667
版权

问题描述:

今天项目进行静态安全检测,报了一个"Activity组件暴露风险"的问题,这个问题引起的原因是给其中的一个activity设置了 android:exported="true" ,但是我有多个app,而且之前存在相互调用。

分析:

我们先来看看 android:exported="false|true" 这个属性:

     1. 完全暴露,这就是android:exported=”true”的作用,而一旦设置了intentFilter之后,exported就默认被设置为true了,除非再强制设为false。当然,
     对那些没有intentFilter的程序体,它的exported属性默认仍然是false,也就不能共享出去。

     2. 权限提示暴露,这就是为什么经常要设置usePermission的原因,如果人家设置了android:permission=”xxx.xxx.xx”那么,你就必须在你的application
     的Manufest中usepermission xxx.xxx.xx才能访问人家的东西。

     3. 私有暴露,假如说一个公司做了两个产品,只想这两个产品之间可互相调用,那么这个时候就必须使用shareUserID将两个软件的Uid强制设置为一样的。
     这种情况下必须使用具有该公司签名的签名文档才能,如果使用一个系统自带软件的ShareUID,例如Contact,那么无须第三方签名。

解决办法:

1. 先将对应的activity的属性设置为 android:exported="false"

2. 在每个app的xml配置文件里面添加 android:sharedUserId="XXX"

3. 用同一个签名文件对公司的所有app进行打包



二货小青年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ActivityFuzzer:检测Android Activity组件的安全漏洞
03-01
ActivityFuzzer:检测Android Activity组件的安全漏洞
Android静态安全检测 -> Activity组件暴露
热门推荐
4lwin博客
07-12 1万+
Activity组件暴露 - exported属性 1. android:exported 该属性用来标示,当前Activity是否可以被另一个Application的组件启动 true 表示允许被启动 false 表示不允许被启动,这个Activity只会被当前Application或者拥有同样user ID的Application的组件调用
android 组件暴露风险,Activity组件暴露导致本地拒绝服务
weixin_34245159的博客
05-25 1340
这几天团队打算一起学习Android App漏洞挖掘方面的知识,于是乎拿了一个app当测试例子,争取在上面找到漏洞。在学习过程中发现Android四大组件安全性还是占有较大的比重,另外比较关心的是数据的安全性。数据泄漏、明文存储等和数据相关都是比较重要的。但是今天找到的一个漏洞是关于Activity组件的,本地拒绝服务漏洞。同时学习了drozer的使用方法,利用drozer帮忙找漏洞。下面总结一...
Android静态安全检查(一):组件暴露
不忘初心的专栏
07-07 3807
简介
Android研发安全2-Activity组件安全(下)
戏耍明天的专栏
11-07 595
什么是Activity劫持        简单的说就是APP正常的Activity界面被恶意攻击者替换上仿冒的恶意Activity界面进行攻击和非法用途。界面劫持攻击通常难被识别出来,其造成的后果不仅会给用户带来严重损失,更是移动应用开发者们的恶梦。举个例子来说,当用户打开安卓手机上的某一应用,进入到登陆页面,这时,恶意软件侦测到用户的这一动作,立即弹出一个与该应用界面相同的Activity
Android编程四大组件分别是什么
09-02
Android开发中,四大组件是构建应用程序的核心元素,它们分别是Activity、Service、BroadcastReceiver和ContentProvider。这四个组件各自承担着不同的职责,共同构成了Android应用的骨架。 **1. Activity** ...
Android四大组件介绍与生命周期.doc
07-13
Android开发中,四大组件是构建应用程序的核心元素,它们分别是Activity、Service、Content Provider和BroadcastReceiver。这四个组件各自承担着不同的职责,并且都拥有特定的生命周期。 **Activity**是Android...
Android四大组件之BroadcastReceiver详解
08-26
Android四大组件之BroadcastReceiver详解 在 Android 开发中,BroadcastReceiver 是四大组件之一,扮演着监听和响应应用发出的广播消息的角色。今天,我们将深入探讨 BroadcastReceiver 的作用、实现原理、注册方式...
四大组件 Activity Service content provider broadcast receiver
06-15
### 四大组件详解:Activity、Service、Content Provider与Broadcast Receiver #### 一、Activity **定义:** ActivityAndroid应用程序中的四大基本组件之一,它代表一个屏幕界面,用户可以直接与其进行交互。每...
Android四大组件知识点总结
01-03
Intent是信使,负责完成Android四大组件之间的信息传递,同类、不同类的组件无法直接传递对象,一旦需要沟通只能通过Intent(不建议通过静态变量或静态方法传递数据,容易造成数据异常、内存泄露等问题)。...
移动安全学习笔记——组件安全之组件暴露导致的安全问题(含实验)
0nc3的博客
02-25 1527
0x00 漏洞原理 exported的组件可以被第三方APP调用,在权限控制不当的情况下,可能导致敏感信息泄露、绕过认证、越权行为执行等风险。 0x01 检测方法 1、手动查看 1-反编译apk,查看AndroidManifest.xml。 2-查看组件是否被导出或默认导出。 具有intent-filter标签时,默认为exported=true 不具有intent-filter标签时,默认为exported=false 导出的组件是否有Signature以上级别的权限控制。 2、利用Drozer
[车联网安全自学篇] Android安全之「组件安全攻防」组件暴露导致的安全问题「基础篇含案例实验」
橙留香Park的博客
04-06 3605
Androdi APP 主要由JAVA编写,包括四大组件Activity、Service、Content Provider、Broadcast Receiver)应用组件是组成安卓应用的关键部分。每个应用都是由一个或者多个组件组成,并且每个都是单独调用。组件名描述Activities描述UI,并且处理用户与机器屏幕的交互Services处理与应用程序关联的后台操作处理Android操作系统和应用程序之间的通信处理数据和数据库管理方面的问题。...
Android暴露组件——被忽略的组件安全
Lance_W
10-31 5755
Intent 简介: Intent(意图),负责完成Android应用、组件之间的交互与通信。 常见的Activity的调用、Receiver的发送、Service的启动都需离不开Intent。 Intent通常包含的信息: Categpry:种类、归类。 Action:表明要做什么?通常代表了一个组件具有的能力。 Data/Extras:通信的数据。 Flags:规定了系统如何去启动一个Act...
安全测试-Drozer安全测试框架实践记录篇
qq_34381178的博客
08-06 4232
二、环境部署一、Drozer简介Drozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。其官方文档说道:“Drozer允许你一一个普通android应用的身份与其他应用和操作系统交互。”在Web世界已经有了许多安全测试工具了,我们只需要给出一个目标,这些工具就会自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同,Drozer是一种交互式的安全测试工具。......
Android组件安全
daide2012的博客
04-05 815
Android组件安全做过Android开发的攻城狮都知道Android四大组件,在开发过程中打交道最多的也是这四大组件,在开发Android应用的过程中我们最基本的要求是要对这四大组件有一个清晰的认识,包括组件的功能特性、生命周期、与系统的交互模型,以及组件之间如何配合使用等等。本文内容主要是关于组件的安全模型以及如何正确的使用组件来降低应用安全风险的一个学习笔记。一、Android四大组件简介
Android常见漏洞
Lighthouse
02-14 1160
转载: 360APP漏洞扫描 常见漏洞 漏洞名称: Log敏感信息泄露 漏洞描述: 程序运行期间打印了用户的敏感信息,造成泄露 修改建议: 建议禁止隐私信息的log 漏洞名称: web https校验错误忽略漏洞 漏洞描述: 漏洞可导致中间人攻击 修改建议: 建议不要忽略ssl认证错误 漏洞名称: sql注入漏洞 漏洞描述: 漏洞可能导致用户数据库中的信息泄露或者篡改 修改建议: 建议使用安全sq...
Android软件安全开发实践(下)
qjbagu的专栏
03-06 735
文/肖梓航 《程序员》2012年第9期中,我们讨论了数据存储、网络通信、密码和认证策略等安全问题和解决方案,本期将继续从组件间通信、数据验证和保全保护等方面来实践Android软件安全开发之路。 组件间通信 组件间通信的安全问题是Android所独有的,也是目前软件中最常出现的一种问题。 我们先回顾一下组件间通信机制。Android有四类组件:activity、service、broadc
Android原生app安全测试
weixin_42728957的博客
01-02 975
1、应用权限检测 将apk通过apktool进行反编译,得到androidManifest.xml文件,可查看应用权限信息,如图所示: 应不存在用户不知情或未授权的情况子啊,获取相应信息。 2、代码混淆检测 代码未做混淆,攻击者很容易阅读反编译后的代码,从而增加程序被破解的风险。 使用反编译软件。 测试步骤: <1>使用apktool反编译apk,得到apk布局和资源文件 <2...
Android】组件安全Activity
最新发布
HWHXY的博客
07-03 678
前文系统的总结了组件会有什么安全问题,本文详细的从不同的组件切入,深入的解析组件的实现方式。组件安全
深入理解Android四大组件Activity、Service、Content Provider与Intent
"深入理解Android四大组件Activity、Service、Content Provider和Broadcast Receiver" 在Android开发中,四大组件是构建应用程序的基础,它们分别是Activity、Service、Content Provider和Broadcast Receiver。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值