APP 安全测试(OWASP Mobile Top 10)--后篇之二

最新推荐文章于 2022-06-01 10:39:11 发布
最新推荐文章于 2022-06-01 10:39:11 发布
阅读量2.1k 收藏 8
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37268841/article/details/104730008
版权

接续:APP 安全测试(OWASP Mobile Top 10)--后篇之一

M7- 客户端代码质量

测试点:

  • 将不受信任的输入传递给移动代码中的方法调用的实体
  • Activity组件本地拒绝服务
  • Activity劫持
  • Activity组件绕过
  • Broadcast Receiver组件本地拒绝服务
  • Broadcast盗窃
  • 恶意Broadcast注入
  • Content Provider组件本地拒绝服务
  • Service组件本地拒绝服务
  • Service劫持
  • 恶意Activity/Service调用
  • Symbols Remnant
  • 弱Check-sum控制/改变检查
  • Unix domain sockets的不安全权限
  • 不安全网络sockets的使用
  • 本地数据文件存储安全
  • 调试信息是否关闭
  • 第三方SDK安全性检测
  • 留存的测试组件或信息
  • 代码中不当的异常处理
  • 保留的内网地址信息
  • 数字签名检测

测试说明:

  1. 黄色部分测试的是apk中的四大组件

  2. 蓝色部分反编译后的具体代码分析

  3. 其他

测试方法会按照上面的三部分来说明:

  1. 黄色部分测试的是apk中的四大组件

              1.1 测这块需要安装drozer,因为我的系统是kali,所以直接运行apt-get install drozer就能直接安全

              1.2 手机端配置一下drozer angent(具体安装以查看drozer 安装:https://www.cnblogs.com/lsdb/p/9441813.html

              1.3 drozer使用:

adb  devices
adb forward tcp:31415 tcp:31415 
drozer console connect  
dz> run app.package.list -f ****

               

  2. 查找你要测试得apk包

dz> run app.package.list -f aaa
com.aaa.mobile 
com.aaa.cloud

3. 查看要测试得包信息和权限信息(前面用的Andriod killer,用drozer的这边的命令也可以查看)

dz> run app.package.info -a com.aaa.mobile
Package: com.aaa.mobile
  Application Label: *****
  Process Name: com.aaa.mobile
  Version: 4.6.2
  Data Directory: /data/user/0/com.aaa.mobile
  APK Path: /data/app/com.aaa.mobile-lUXFRNxY8xKsNgdzr04RIA==/base.apk
  UID: 10193
  GID: [3002, 3003, 3001]
  Shared Libraries: [/system/framework/org.apache.http.legacy.boot.jar]
  Shared User ID: null
  Uses Permissions:
  - android.permission.CALL_PHONE
  - android.permission.SYSTEM_ALERT_WINDOW
  - android.permission.ACCESS_WIFI_STATE
  - android.permission.BLUETOOTH
  - android.permission.INTERNET
  - android.permission.BLUETOOTH_ADMIN
  - android.permission.ACCESS_NETWORK_STATE
  - com.android.launcher.permission.READ_SETTINGS
  - android.permission.WAKE_LOCK
  - android.permission.CHANGE_WIFI_STATE
  - android.permission.WRITE_EXTERNAL_STORAGE
  - android.permission.WRITE_SETTINGS
  - android.permission.ACCESS_COARSE_LOCATION
  - android.permission.ACCESS_FINE_LOCATION
  - android.permission.READ_PHONE_STATE
  - android.permission.CHANGE_CONFIGURATION
  - android.permission.CAMERA
  - android.permission.RECORD_VIDEO
  - android.permission.USE_FINGERPRINT
  - android.permission.READ_LOGS
  - android.permission.READ_EXTERNAL_STORAGE
  - android.permission.GET_TASKS
  - android.permission.SENSOR_INFO
  - android.permission.SENSOR_ENABLE
  - android.permission.KILL_BACKGROUND_PROCESSES
  - android.permission.READ_CALENDAR
  - android.permission.WRITE_CALENDAR
  - android.permission.RECEIVE_BOOT_COMPLETED
  - android.permission.ACCESS_LOCATION_EXTRA_COMMANDS
  - android.permission.CHANGE_NETWORK_STATE
  - android.permission.FLASHLIGHT
  - android.permission.VIBRATE
  - com.aaa.mobile.permission.C2D_MESSAGE
  - com.aaa.mobile.permission.JPUSH_MESSAGE
  - android.permission.RECEIVE_USER_PRESENT
  - android.permission.MOUNT_UNMOUNT_FILESYSTEMS
  - android.permission.RECORD_AUDIO
  - android.permission.MODIFY_AUDIO_SETTINGS
  - android.permission.BROADCAST_STICKY
  - com.aaa.mobile.permission.RECEIVE_MSG
  - com.aaa.mobile.permission.MIPUSH_RECEIVE
  - com.meizu.flyme.push.permission.RECEIVE
  - com.aaa.mobile.push.permission.MESSAGE
  - com.meizu.c2dm.permission.RECEIVE
  - android.permission.RESTART_PACKAGES
  - com.google.android.c2dm.permission.RECEIVE
  - com.sec.android.provider.badge.permission.READ
  - com.sec.android.provider.badge.permission.WRITE
  - com.htc.launcher.permission.READ_SETTINGS
  - com.htc.launcher.permission.UPDATE_SHORTCUT
  - com.sonyericsson.home.permission.BROADCAST_BADGE
  - com.sonymobile.home.permission.PROVIDER_INSERT_BADGE
  - com.anddoes.launcher.permission.UPDATE_COUNT
  - com.majeur.launcher.permission.UPDATE_BADGE
  - com.huawei.android.launcher.permission.CHANGE_BADGE
  - com.huawei.android.launcher.permission.READ_SETTINGS
  - com.huawei.android.launcher.permission.WRITE_SETTINGS
  - android.permission.READ_APP_BADGE
  - com.oppo.launcher.permission.READ_SETTINGS
  - com.oppo.launcher.permission.WRITE_SETTINGS
  - me.everything.badger.permission.BADGE_COUNT_READ
  - me.everything.badger.permission.BADGE_COUNT_WRITE
  Defines Permissions:
  - com.aaa.mobile.permission.C2D_MESSAGE
  - com.aaa.mobile.permission.JPUSH_MESSAGE
  - com.aaa.mobile.permission.RECEIVE_MSG
  - com.aaa.mobile.permission.MIPUSH_RECEIVE
  - com.aaa.mobile.push.permission.MESSAGE
  - com.aaa.mobile.permission.C2D_MESSAGE

   4. 查看攻击面

dz> run app.package.attacksurface  com.aaa.mobile
Attack Surface:
  4 activities exported
  13 broadcast receivers exported
  2 content providers exported
  4 services exported

    5. 上面可以看到4大组件都存在攻击面,下面需要各个来查看处理

    6. Activity组件测试

dz> run app.activity.info -a com.aaa.mobile
Package: com.aaa.mobile
  com.aaa.mobile.DefaultActivity
    Permission: null
    Target Activity: com.aaa.mobile.Activity
  com.aaa.mobile.wxapi.WEnActivity
    Permission: null
  com.ug.qq.tencent.AuthActivity
    Permission: null
  cn.jpush.android.service.JNoActivity
    Permission: null

  7. Activity 劫持,使用攻击hijackactivity.apk,需要将该工具装到要测试的手机上面:

   

  可以将要测试的app添加到里面,如果app可以被劫持的话,打开app就会一直处于顶端。

 8. Activity 绕过:

dz> run app.activity.start --component com.aaa.mobile.wxapi.WXEntryActivity com.umeng.qq.tencent.AuthActivity cn.jpush.android.service.JNotifyActivity
unrecognized arguments: cn.jpush.android.service.JNotifyActivity
dz> run app.activity.start --component com.aaa.mobile.wxapi.WXEntryActivity com.umeng.qq.tencent.AuthActivity 
Unable to find explicit activity class {com.aaa.mobile.wxapi.WXEntryActivity/com.umeng.qq.tencent.AuthActivity}; have you declared this activity in your AndroidManifest.xml?
dz> run app.activity.start --component com.aaa.mobile.wxapi.WXEntryActivity cn.jpush.android.service.JNotifyActivity
Unable to find explicit activity class {com.aaa.mobile.wxapi.WXEntryActivity/cn.jpush.android.service.JNotifyActivity}; have you declared this activity in your AndroidManifest.xml?
dz> run app.activity.start --component com.umeng.qq.tencent.AuthActivity com.aaa.mobile.wxapi.WXEntryActivity
Unable to find explicit activity class {com.umeng.qq.tencent.AuthActivity/com.aaa.mobile.wxapi.WXEntryActivity}; have you declared this activity in your AndroidManifest.xml?
dz> run app.activity.start --component com.umeng.qq.tencent.AuthActivity cn.jpush.android.service.JNotifyActivity
Unable to find explicit activity class {com.umeng.qq.tencent.AuthActivity/cn.jpush.android.service.JNotifyActivity}; have you declared this activity in your AndroidManifest.xml?
dz> run app.activity.start --component  cn.jpush.android.service.JNotifyActivity om.aaa.mobile.wxapi.WXEntryActivity
Unable to find explicit activity class {cn.jpush.android.service.JNotifyActivity/om.aaa.mobile.wxapi.WXEntryActivity}; have you declared this activity in your AndroidManifest.xml?
dz> run app.activity.start --component  cn.jpush.android.service.JNotifyActivity com.aaa.mobile.wxapi.WXEntryActivity
Unable to find explicit activity class {cn.jpush.android.service.JNotifyActivity/com.aaa.mobile.wxapi.WXEntryActivity}; have you declared this activity in your AndroidManifest.xml?
dz> run app.package.attacksurface com.aaa.mobile

 上面可以看到没有执行主页面defaultActivity,直接执行的是后面几个没有授权的Activity,如果该处存在绕过漏洞会直接调到相应的界面。

9. Broadcat 组件测试:

dz> run app.broadcast.info -a com.aaa.mobile
Package: com.aaa.mobile
  com.aaa.mobile.broadcast.MyBlueToothReceiver
    Permission: null
  com.google.android.gms.gcm.GcmReceiver
    Permission: com.google.android.c2dm.permission.SEND
  cn.jpush.android.service.PushReceiver
    Permission: null
  com.aaa.mobile.jpush.aaaReceiver
    Permission: null
  com.xiaomi.push.service.receivers.NetworkStatusReceiver
    Permission: null
  cn.jpush.android.service.PluginXiaomiPlatformsReceiver
    Permission: null
  cn.jpush.android.service.PluginHuaweiPlatformsReceiver
    Permission: null
  com.aaa.mobile.nim.HuaWeiReceiver
    Permission: null
  cn.jpush.android.service.PluginMeizuPlatformsReceiver
    Permission: null
  com.aaa.mobile.nim.MeizuReceiver
    Permission: null
  org.altbeacon.beacon.startup.StartupBroadcastReceiver
    Permission: null
  com.learnium.RNDeviceInfo.RNDeviceReceiver
    Permission: null
  com.google.firebase.iid.FirebaseInstanceIdReceiver
    Permission: com.google.android.c2dm.permission.SEND

10. Broadcast“盗窃”:

    上面查看aaa相关的broadcast组件:

 

以后一个broadcast为例, com.aaa.mobile.jpush.aaaReceiver.查看反编译的源码搜索“aaaReceiver”,发现有两个参数如下:

执行“盗窃”行为,看能不能执行:

从上面执行结果中可以看到执行命令没有报错,而且走到了执行参数那边。

11. Content provier查询,这边因为我的drozer finduris命令执行一直有问题,所以没有进行后续,但content这块涉及到的内容比较多,下次有会单独对这块写一篇博客。

dz> run scanner.provider.finduris -a com.aaa.mobile

12. Service

   1. 查看service 信息

dz> run app.service.info -a com.aaa.mobile

2. service 启动:

 

这边启动成功后,要adb shell查看这些服务有没有正常启动成功: ps -ef | grep service名称

上面基本上是这次四大组件的测试方法,除了content这边我会另外单独写一篇博客来说明一下。   

未完待续:APP 安全测试(OWASP Mobile Top 10)--后篇之三

 

                   

            

 

 

                

 

 

 

 

一杯咖啡的时间
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
Activity_Hijack.apk
04-19
用途:该工具主要用于APP劫持检测。 使用方法:安装HijackActivity.apk,使用 activity 界面劫持工具,在工具中指定要劫持的应用进程名称。如图所示,从列表中选择被测试的应用,点击 OK。打开应用,测试工具会尝试用自己的窗口覆盖被测的应用,如果劫持成功,会出现如下界面。 威胁等级:若客户端无法抵抗 Activity 界面劫持攻击时为中风险;若可以抵抗攻击则无风险。 安全建议:Activity劫持通常依靠注册Receiver响应android.intent.action.BOOT_COMPLETED事件。客户端程序可以在启动前检查Receiver并报警;由于Activity界面劫持攻击通常是将自己的页面附着在客户端之上,因此需要进行界面切换操作,因此在界面切换到后台时弹出警告信息也可以达到一定的效果。除此之外,因为Android进程栈的工作原理,建议开发客户端时针对进程栈进行相应的保护,可禁止其他进程放置于客户端之上。
App安全检测实践基础——工具
战神/calmness的博客
10-21 1648
App安全检测实践基础——工具 apktool:简而言之就是获取资源文件,主要查看res文件下xml文件、AndroidManifest.xml和图片。 (注意:如果直接解压.apk文件,xml文件打开全部是乱码) dex2jar:将apk反编译成Java源码(classes.dex转化成jar文件) jd-gui:查看APK中classes.dex转化成出的jar文件,即源码文件 Apktool 下载地址:https://ibotpeaches.github.io/Apktool/in.
Android中的组件安全漏洞介绍和检测
热门推荐
nextdoor6的博客
08-22 1万+
首先我们介绍下我们常见的Android的activity组件, Activity是Android四大组件之一,它用于展示界面。Activity是一个应用程序组件,提供一个屏幕,用户可以用来交互为了完成某项任务。Activity中所有操作都与用户密切相关,是一个负责与用户交互的组件,可以通过setContentView(View)来显示指定控件。在一个android应用中,一个Activity通常
任意版本界面劫持
JiaoMaGe的博客
11-12 1500
任意版本界面劫持 界面劫持攻击分为界面劫持和钓鱼攻击两部分。恶意程序会对目标应用的客户端进行监控,当应用客户端程序调用Acitivity组件显示 窗口,且该窗口界面组件是恶意程序预设的攻击对象,恶意程序就会立即启动自己的仿冒界面使之替换或覆盖在客户端程序界面之上,这就是界面劫持。恶意攻击者在发动界面劫持后,用户所面对并操作的其实已经是被替换后的仿冒页面,这意味着用户在毫无察觉的情况下将自己的账号、...
android安全-activity劫持
happyq的专栏
02-20 1725
一、activity劫持简介 DEFCON-19上公布的,原文见 https://www.trustwave.com/spiderlabs/advisories/TWSL2011-008.txt android运行时,会在很多activity中进行切换,它自身维护着一个activity的历史栈,用于在用户点击back时,恢复前一个activity,栈顶指向当前显示的activity。
未兼容android9系统魔秀桌面,魔秀桌面(com.moxiu.launcher) - 7.2.9.2 - 应用 - 酷安
weixin_29018815的博客
05-28 236
权限信息· android.permission.ACCESS_WEATHERCLOCK_PROVIDER· com.xiaomi.permission.AUTH_SERVICE· com.sec.android.provider.badge.permission.READ· com.sec.android.provider.badge.permission.WRITE· 直接拨打电话号码· 设置...
[车联网安全自学篇] ATTACK安全之Android Activity劫持检测与防护
橙留香Park的博客
06-01 2354
Android 界面劫持是指在Android系统中,恶意软件通过监控目标软件的运行,当检测到当前运行界面为某个被监控应用的特定界面时(一般为登录或支付界面),弹出伪造的钓鱼页面,从而诱导用户输入信息,最终窃取用户的隐私(恶意盗取用户账号、卡号、密码等信息),或者利用假冒界面进行钓鱼欺诈目前,还没有什么专门针对Activity劫持的防护方法,因为,这种攻击是用户层面上的,目前还无法从代码层面上根除。
APP 安全测试OWASP Mobile Top 10)–后篇之二
01-03
接续:APP 安全测试OWASP Mobile Top 10)–后篇之一 M7- 客户端代码质量 测试点: 将不受信任的输入传递给移动代码中的方法调用的实体 Activity组件本地拒绝服务 Activity劫持 Activity组件绕过 Broadcast ...
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021中文版V1.0.pdf
OWASP Mobile Top 10 -2016
10-04
本文档系统地分类了 android应用app的一系列风险漏洞问题,并且很有指导性。此外该文档对app应用的风险漏洞的归类和分析都很到位。
Activity_Hijack测试工具.rar
09-16
当一个应用程序通过action来启动某个Activity时,另一个恶意应用可以创建一个同样的action来接收Activity。在Android应用中,如果存在多个Activity接收同一个action,那么就会提供一个选择列表让用户进行选择。一旦用户选错了,就进入了恶意程序的界面,当用户输入隐私信息,有可能被恶意程序将数据发送给服务器,导致用户信息泄露。
hijack,一个嗅探工具
12-17
hijack嗅探工具是可以嗅探ftp,3389,http的利器。cain有时候会使目标掉线,这个就不会。很好用。
activity劫持
09-17
activity劫持演示文档和apk
渗透工具hijack
12-29
渗透工具hijack,比较好用的工具,欢迎下载
APP劫持检测
07-06
HijackActivity.apk能用于检测APP是否可被劫持。再凑点字数
terraform-aws-waf-owasp-top-10-rules:一个Terraform模块,用于为OWASP创建AWF WAF规则十大安全风险防护
02-04
terraform-aws-waf-owasp-top-10-rules:一个Terraform模块,用于为OWASP创建AWF WAF规则十大安全风险防护
OWASP-TOP10-2021中文版V1.0发布
01-22
OWASP-TOP10-2021中文版V1.0发布
android权限缺失,android – 致命异常:java.lang.SecurityException:缺少插入标记的权限...
weixin_30345873的博客
06-02 1051
我是Android开发的新手,在Play商店发布之后,我面临一些设备的异常.这对我来说完全不为人知.此异常强制停止/崩溃我的应用程序.记录完整的堆栈跟踪:Exception java.lang.SecurityException: Missing permission to insert badgesandroid.os.Parcel.readException (Parcel.java:1553...
Android 应用桌面角标显示各厂商规则说明
sunlit_6的博客
05-30 1459
Android 应用桌面角标显示 前言 ### 什么是角标? 1 ​ 首先如图1所示,角标就是当有消息来的时候,桌面上应用的图标会用数字显示新消息的条数。 ​ 应用角标先出现在ios系统上,apple用于消息通知。实际上,Android原生系统并不支持桌面应用角标的显示,各个Android厂商在定制系统的时候,模仿ios系统,实现了这个功能,角标实现主要是厂商定制Launcher(启动器)来实现,为应用预留了接口。具体地,在应用开发中实现方法主要分为两种,通过getContentResolver或是s.
owasp-top10-2021 最新中文版v1.0.pdf下载
最新发布
06-24
### 回答1: OWASP Top 10是一个网络应用程序安全风险的指南,旨在为企业和开发人员提供有关应用程序安全风险的信息和解决方案。2021年版的OWASP Top 10依然是众所瞩目的,各个安全顾问、企业都在紧密关注。 OWASP Top 10建立在全球数据和研究的基础上,是一个广泛接受的安全风险指南。它覆盖了Web应用程序最常见的安全风险,并提供了一些解决方案和建议,帮助企业和开发人员更好地保护其Web应用程序。 2021年版的OWASP Top 10重点关注了API安全和云安全,并将这些风险列为主要问题。API是Web应用程序中最流行的集成方式之一,因此攻击者经常利用它们来入侵和偷取数据。这使得API的安全成为防御攻击的重点。 至于云安全,它是一个与日俱增的问题,因为越来越多的企业和组织正在选择将其应用程序部署在云上。这意味着攻击者可以轻松地在云中找到目标,并进行各种攻击。 总的来说,下载OWASP Top 10最新中文版v1.0.pdf可以让企业和开发人员更好地了解现今最常见的Web应用程序安全风险,并了解防御这些风险的方法。这个指南将是值得细心研究的资源,以确保应用程序的安全。 ### 回答2: OWASP是全球最知名的网络安全组织之一,旨在提高软件安全性并推进网络安全教育和培训。OWASP Top 10OWASP的核心项目之一,着重于列举当前网络应用程序中最常见的十种安全风险,以提高开发人员、安全测试人员和安全专家的安全意识。最新的OWASP Top 10列表是2021年版,这个版本于2021年6月发布。相比于之前的版本,这一版本增加了新风险,并对已有的风险进行了修改和调整。 在OWASP Top 10 2021中文版v1.0中,含有整个OWASP Top 10列表的中文翻译和详细解释,同时还有相关的漏洞描述、常见漏洞案例分析、攻击和防御建议等详细内容。这使得中文读者能够更好地理解此清单并快速找到有用的信息,进一步加强对网络安全的保护和预防工作。 总的来说,OWASP Top 10 2021中文版v1.0是网络安全领域必不可少的重要资料之一,对于开发人员、应用程序测试人员、网络安全专家来说都十分有用。此版本的推出充分展示了OWASP对网络安全的不断关注和持续改进的精神,同时也提醒我们在应用程序开发中更加重视安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值