android静态审计脚本

最新推荐文章于 2023-11-11 21:17:30 发布
最新推荐文章于 2023-11-11 21:17:30 发布
阅读量398 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p0x2015/article/details/46878291
版权
本文介绍了一种自动反编译apk文件的方法,通过正则表达式匹配安全配置、WebView设置、SSL通信安全、外部存储访问、暴露URL、全局可读写文件和Intent scheme等关键特征,以进行安全审计。在源代码第44行可以进一步优化测试用例,将生成的jar和apktool.jar放在同一文件夹中。
摘要由CSDN通过智能技术生成

自动反编译apk文件后,通过以下正则匹配以下特征,并生成result.txt文件

安全配置类:(((debuggable|allowBackup|exported)=\"true\")

WEBVIEW类:|(addJavascriptInterface|searchBoxJavaBridge)

SSL通信安全类:|(ALLOW_ALL_HOSTNAME_VERIFIER|AllowAllHostnameVerifier|X509Certificate)

外部存储类:|(getExternalStorageDirectory()

暴露的

最低0.47元/天 解锁文章
p0x2015
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java证书不安全_证书不安全解决HttpClient 如何忽略证书验证 - ALLOW_ALL_HOSTNAME_VERIFIER...
weixin_28807529的博客
02-27 1593
HttpClient 如何忽略证书验证 - ALLOW_ALL_HOSTNAME_VERIFIER1。设置可以访问HTTPSFunction - getNewHttpClientJava代码/***@Title:getNewHttpClient*@Description:MethodsDescription*@param@return*@returnHttpClient*@th...
Android开发中的Https安全规范
caizehui的博客
01-11 1166
前言: 越来越多的Android应用为了android通信安全,将http通信改为Https通信连接,或单向验证或双向验证。 但是如果不按规范将TLS连接中对证书等进行安全校验,实际上和http通信没有任何差别,还是有很多的安全风险,如中间人攻击等。 一方面TLS版本要高,如TLS1.2、TLS1.3,因为旧版本的都已发现安全漏洞。另外,就是一些通用部分,如下为阿里Android开发手册部分提到的规范,可以进行参考。 从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerif
证书不安全解决HttpClient 如何忽略证书验证 - ALLOW_ALL_HOSTNAME_VERIFIER
热门推荐
tiantianchuqiji的博客
08-03 1万+
HttpClient 如何忽略证书验证 - ALLOW_ALL_HOSTNAME_VERIFIER   1。设置可以访问HTTPS   Function - getNewHttpClient    Java代码   /**       * @Title: getNewHttpClient       * @Description: 
HttpClient 如何忽略证书验证访问https - ALLOW_ALL_HOSTNAME_VERIFIER (二)
kavinhub
12-17 807
HttpClient 如何忽略证书验证访问https - ALLOW_ALL_HOSTNAME_VERIFIER(二) /** * @Title: getNewHttpClient * @Description: Methods Description * @param @return * @return HttpClient * @throws */ ...
Java(14):HttpClient4.5.3(CloseableHttpClient)访问https时跳过证书验证的解决方法
fen_fen的专栏
09-02 2802
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 使用的版本: <de...
Android安全与逆向分析进阶
最新发布
04-10
10. **安全测试与审计**:学习如何进行应用的安全测试,包括静态代码分析、动态行为检测和渗透测试,以及如何编写安全审计报告。 11. **Android安全框架与工具**:了解现有的Android安全框架,如OWASP Mobile ...
AndroidTools
04-13
在安全方面,AndroidTools可能包含了一些安全审计工具,例如: 1. **ADB (Android Debug Bridge)**:这是一个必不可少的命令行工具,允许开发者通过USB或无线连接与运行Android的设备进行通信,执行各种操作,如...
Android App动态代码分析工具
09-02
动态代码分析与传统的静态分析不同,它不依赖于源代码,而是通过实际执行应用程序来观察其行为,这在发现隐藏漏洞、恶意活动或不当行为方面尤其有用。 描述中的“全自动点击”指的是自动化UI测试,通常利用工具如...
Android代码-soot-infoflow-android
08-06
Android代码-soot-...总的来说,"Android代码-soot-infoflow-android"是Android应用静态分析的一个强大工具,结合了Soot的优化能力和InfoFlow的数据流分析,为保障Android应用的信息安全提供了有效的技术手段。
httpclient4.5 绕过ssl认证文件访问
03-01
这是一个关于httpclient4.5访问https网站的例子,可以绕过ssl认证直接访问
RestTemplate 发送https请求
chenxue843400447的博客
03-03 1160
maven依赖: <dependency> <groupId>org.apache.httpcomponents</groupId> <artifactId>httpclient</artifactId> <version>4.5.3</version> </dependency> import org.apache.http.conn.ssl.SSLConnectionS..
通过HTTPS使用HttpClient信任所有证书
asdfgh0077的博客
02-13 3746
最近在Https上发布了有关HttpClient的问题( 在此处找到 )。 我取得了一些进展,但遇到了新问题。 与我的最后一个问题一样,我似乎找不到任何适合我的示例。 基本上,我希望我的客户
重写
simon47的博客
10-24 293
new对象的时候 后面加个{ @override  }可以简便的实现重写 重写SSLSocketFactory的connect方法 于是有了下面的代码(注释的部分就是之前的代码): SSLContext sslcontext = SSLContext.getInstance("SSL"); sslcontext.init(null, new TrustManager[] { truseAl...
http java ssl_使用HttpClient通过HTTPS信任所有证书
weixin_32243075的博客
02-15 487
使用HttpClient通过HTTPS信任所有证书最近发布了一个关于HttpClient过度Https的问题(在这里找到)。我已经取得了一些进展,但我遇到了新的问题。和我的上一个问题一样,我似乎无法找到适合我的任何地方的例子。基本上,我希望我的客户端接受任何证书(因为我只指向一个服务器),但我一直在接受javax.net.ssl.SSLException: Not trusted server ...
Android通信安全之HTTPS
2301_78835635的博客
11-11 2178
在使用HttpsURLConnection发起 HTTPS 请求的时候,提供了一个自定义的X509TrustManager,未实现安全校验逻辑,下面片段就是当时新浪微博 sdk 内部的代码片段。如果不提供自定义X509TrustManager,代码运行起来可能会报异常(原因下文解释),初学者就很容易在不明真相的情况下提供了一个自定义的X509TrustManager,却忘记正确地实现相应的方法。本文重点介绍这种场景的处理方式。//do nothing,接受任意客户端证书。
Andriod中HTTPS安全使用
nextdoor6的博客
09-28 989
中间人攻击 1.java中ssl/stl的使用 https即http+ssl/stl组成的网络安全传输协议,目的是防止数据在传输的过程中产生信息泄露或篡改。 https在正确使用的时候是可以防止中间人攻击的,当时由于开发者在开发过程中编码不正确导致https 的错误使用,以至于攻击者可以获取或修改https传输的数据。 Android https的开发过程中常见的
android分析审计工具,一种实时高效率的Android应用审计方法——AppAudit
weixin_39828715的博客
05-25 644
一种实时高效的Android应用审计方法——AppAuditEffective Real-time Android Application Auditing, 2015 IEEE Symposium on Security and Privacy, 2015年5月 [1]http://www.ieee-security.org/TC/SP2015/papers/6949a899.pdf1.1. 背...
浅谈Android软件安全自动化审计
weixin_34050005的博客
09-25 210
作者: riusksk(泉哥) 邮箱:riusksk@qq.com 博客:http://hi.baidu.com/riusksk 微博:http://t.qq.com/riusksk 【目录】 0x00 前言 0x10 Android软件常见漏洞原理及检测 0x11 敏感信息明文保存 0x12 程序...
深入理解Android静态分析:smali指令解析
"Android静态分析主要涉及对APK应用的反编译和理解,以进行安全检查、漏洞分析或功能探索。其中,smali语言是Dalvik虚拟机的汇编语言,用于表示Android应用的字节码。本文将深入探讨smali语言的基础知识和Android...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值