移动安全
Zz_糖小七
希望能坚持写博客。
展开
-
Android 明文数字证书风险解决方案
测评目的检测客户端是否包含明文存储的数字证书文件危险等级中危害Apk中使用的数字证书可被用来校验服务器的合法身份,以及在与服务器进行通信的过程中对传输数据进行加密、解密运算,保证传输数据的保密性、完整性。明文存储的数字证书如果被篡改,客户端可能连接到假冒的服务端上,导致用户名、密码等信息被窃取;如果明文证书被盗取,可能造成传输数据被截获解密,用户信息泄露,或者伪造客户端向服务器发送请求,篡改服务器中的用户数据或造成服务器响应异常测评结果存在风险(发现1处)测评结果...原创 2020-05-13 08:27:08 · 1822 阅读 · 7 评论 -
Android Webview File同源策略绕过漏洞
测评目的检测Apk中WebView的file域协议是否存在同源策略绕过的漏洞危险等级高危害JavaScript的延时执行能够绕过file协议的同源检查,并能够访问受害应用的所有私有文件,即通过WebView对Javascript的延时执行和将当前Html文件删除掉并软连接指向其他文件就可以读取到被符号链接所指的文件,然后通过JavaScript再次读取HTML文件,即可获取到被符号链接所指的文件。大多数使用WebView的应用都会受到该漏洞的影响,恶意应用通过该漏洞,可在无特殊...原创 2020-05-12 09:33:13 · 1568 阅读 · 0 评论 -
Android Webview明文存储密码风险
测评目的检测App应用的Webview组件中是否使用明文保存用户名及密码。危险等级高危害Android的Webview组件中默认打开了提示用户是否保存密码的功能,如果用户选择保存,用户名和密码将被明文存储到该应用目录databases/webview.db中。而本地明文存储的用户名和密码,不仅会被该应用随意浏览,其他恶意程序也可能通过提权或者root的方式访问该应用的webview数据库,从而窃取用户登录过的用户名信息以及密码。测评结果存在风险(发现4处)测评结果...原创 2020-05-12 08:36:45 · 1725 阅读 · 2 评论