android-exploitme(六):基础加密

最新推荐文章于 2023-03-21 15:01:36 发布
最新推荐文章于 2023-03-21 15:01:36 发布
阅读量377 收藏
点赞数
分类专栏: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengyufengzi/article/details/39027681
版权

这次我们看看程序在设备上存储了什么敏感信息

(server-env)sartre:AndroidLabs2 maxim$ adb shell
# cd /data/data/com.securitycompass.androidlabs.base
# ls
lib
shared_prefs
# cd shared_prefs
# ls
preferences.xml
com.securitycompass.androidlabs.base_preferences.xml

查看preferences.xml文件如下:

# cat preferences.xml
<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
<string name="serverpass">password</string>
<string name="localpasssalt">+tm+vXQuNL01T2caEwlG6XBj9ZrS9w5XfVk5EFV15SQ=
</string>
<string name="serveruser">jdoe</string>
<boolean name="firstrun" value="false" />
<string name="localpasshash">vt8O7P2Y1dPYjRJG/F7QXADtpc2/DxlvpYya2b/oSIA=
</string>
</map>

可以看到他明文保存了用户名和密码,这种敏感数据应该加密存储,或者不存储,由backend验证

fengyufengzi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android-exploitme(一):生成apk
weixin_30797199的博客
07-14 122
exploitme是一个国外的android安全测试环境,http://securitycompass.github.io/AndroidLabs/index.html,通过它可以学习一些基本的测试方法和思路 今天先来生成Base的apk: 1. 下载exploit-me的git代码: git init git clone https://github.com/Se...
android 自动刷量开发_Android渗透测试神器大全
weixin_39700063的博客
12-11 518
Android安全测试更多的被安全行业人员用来测试Android应用程序中的漏洞。下面为大家准备了近乎全面的Android渗透测试工具和资源列表,涵盖了在Android手机上所以执行的渗透测试操作。在线分析AndroTotalTracedroidVisual ThreatMobile Malware SandboxAppknox – 非免费;IBM Security AppScan Mo...
谷歌披露利用 Windows 和安卓双平台的高阶攻击活动
smellycat000的专栏
01-14 115
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队2020年初,谷歌 Project Zero 团队检测到专门针对安卓和 Windows 设备的高阶攻击活动,并在今天通过博客...
模拟入侵android手机
最新发布
边缘拼命划水的小陈
03-21 1933
1、android手机虚拟机2、kali系统。
渗透测试攻防练习实验室 (资源分享,国外在线教程)
weixin_30375247的博客
07-26 874
Vulnerable Web Applications BadStore http://www.badstore.net/ BodgeIt Store http://code.google.com/p/bodgeit/ Butterfly Security Project http://thebutterflytmp.sou...
sms-encrypt-android-app:短信加密安卓应用
06-14
【标题】"短信加密安卓应用"是一个专门为Android平台设计的安全通信解决方案,旨在为用户的短信通信提供额外的安全保障。这个应用的核心功能是加密短信内容,确保即使在数据传输过程中,信息也能保持私密,不受第三...
android-backup-extractor:Android备份提取器
04-30
Android备份提取器 提取和重新打包使用adb backup (ICS +)创建的Android备份的实用程序。 很大程度上基于AOSP的BackupManagerService.java 。 建造 需要Java11。处理加密备份需要JCE无限强度管辖区策略(如果使用...
Android-CWAC-NetSecurity:简化安全上网
08-13
总的来说,Android-CWAC-NetSecurity 是一个实用的工具,旨在解决 Android 应用在安全网络通信中的挑战,帮助开发者专注于应用程序的业务逻辑,而不是底层的加密细节。通过合理地使用这个库,你可以增强你的应用安全...
Android-Kissme:一个提供加密键值存储的开源库
08-13
"Kissme"就是这样一个专为Android设计的开源库,它提供了一个简单易用的加密键值存储解决方案。 **Kissme 库的核心功能** 1. **加密存储**: Kissme 使用强大的加密算法(如AES)来对键值对进行加密,确保即使数据...
xmljava系统源码-Android-EDP-SDK:Android-EDP-SDK
06-06
xml java系统源码 Android-EDP-SDK 简介 Android-EDP-SDK是对 中移物联网公司 OneNET平台 EDP(Enhanced Device ...'com.chinamobile.iot.onenet.edp:Android-EDP-SDK:1.1.1' } 相关接口 EdpClient.java
android-exploitme(五):不安全的数据存储
weixin_30924239的博客
07-15 95
今天我来看看如果android将数据存储在sdcard,它的权限是什么样的 1. 打开emm软件,做一笔转账。 2. 现在来看看sdcard中的数据情况 sdcard中的数据是所有人可写的。 解决方案(非root): 1. 不要存储在sdcard中 2. save the file with the private mode 转载于:https://www...
android-exploitme(三):安全连接
weixin_30559481的博客
07-14 78
今天我来测试连接的安全,数据是否可嗅探。 android模拟器提供了内置的tcpdump,我们使用这个来抓包。 1. 启动带tcpdump的模拟器 santoku@santoku-virtual-machine:~/Desktop$ emulator -avd avd1 -tcpdump 7-14.cap #这里我的模拟器名字叫and1,抓包的结果保存为7-14.cap sa...
选个“靶子”练练手:15个漏洞测试网站带你飞
tasty
09-16 3578
俗话说进攻是最好的防御,而这与信息安全世界并没有什么不同。通过这15个故意存漏洞网站来提升你的黑客技能,你会成为最好的防守者——无论你是一名开发人员、安全管理者、审计师或者测试人员。请牢记:熟能生巧! 1、Bricks Bricks是一个建立于PHP、使用MySQL数据库的web应用程序,其中含有漏洞并且每个“brick”程序块包含一个需要进行缓解安全漏洞。这是OWASP的一个项目,不仅为教学
android-exploitme(四):参数篡改
weixin_30914981的博客
07-15 148
今天我们来测试请求中参数的篡改,这个在web安全测试中是常用的,拦截请求包,修改参数,提交 1. 首先我们需要启动模拟器,并使用本机的代理(加上参数-partition-size的目的是为了可以往android的/system中拷贝数据,要不然会提示“out of memory”错误)。 如果是linux需要加上sudo,emulator需要制定路径。 2. 设置charles,...
错误:error libGL.so: cannot open shared object file: No such file or directory
fengyufengzi的专栏
09-03 1891
Failed to load libGL.soerror libGL.so: cannot open shared object file: No such file or directory 启动emulator的时候有如上错误, 解决方案: 64-bit Ubuntu 12.04.   $ sudo apt-get install git-core gnupg flex biso
android-exploitme(二):安装apk熟悉测试环境
fengyufengzi的专栏
09-03 1307
今天我们来熟悉测试环境: 1. 下载server代码,并运行 git clone https://github.com/SecurityCompass/LabServer.git 2. 这个server是apk客户端的服务器端,运行: To run the HTTP server on port 8080 python app.py To run the HT
android-exploitme(八):内存保护
fengyufengzi的专栏
09-03 1117
如果一个手机被锁屏了,但是有个app还在后台运行,这个时候你想知道些app的信息,需要分析他的内存状态。 1. 首先运行模拟器,打开emm,使得模拟器返回锁屏状态 2. 打开ddms,下载内存文件 3. 下载下来的文件是java格式的,需要用工具将他转换为dalvik格式 4. 使用mat打开转后的文件, *   点击dominator tree *   点击group b
Rijndael算法AES-FIPS197详解:高级加密与实现关键
AES于2001年被美国国家 institute of Standards and Technology (NIST)采纳,用于保护敏感数据的加密,因其高效、安全性高而成为国际通用的加密算法。 AES的设计者是比利时密码学家 Joan Daemen 和 Vincent Rijmen...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值