Shared storage cannot protect your application from code injection attacks

最新推荐文章于 2022-09-24 22:15:48 发布
最新推荐文章于 2022-09-24 22:15:48 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/parallelyk/article/details/51782714
版权

在动态加载dex的时候可能会出现以下问题:

 java.lang.IllegalArgumentException: Optimized data directory /storage/emulated/0 is not owned by the current user. Shared storage cannot protect your application from code injection attacks.


原因:

从Android4.1.2开始,App不能直接从sdcard中加载字节码,因为sdcard对于所有应用程序来说是共享的,为了防止恶意的代码注入,当采用DexClassLoader从sdcard中动态加载字节码的时候,就会抛出异常,为了安全,在DexFile下加入了以下代码判断

Libcore.os.getuid() != Libcore.os.stat(parent).st_uid

用来判断两个程序是不是同一个uid


DexFile:

private DexFile(String sourceName, String outputName, int flags) throws IOException {
        if (outputName != null) {
            try {
                String parent = new File(outputName).getParent();
                if (Libcore.os.getuid() != Libcore.os.stat(parent).st_uid){
                    throw new IllegalArgumentException("Optimized data directory " + parent
                            + " is not owned by the current user. Shared storage cannot protect"
                            + " your application from code injection attacks.");
                }
            } catch (ErrnoException ignored) {
                // assume we'll fail with a more contextual error later
            }
        }
 
        mCookie = openDexFile(sourceName, outputName, flags);
        mFileName = sourceName;
        guard.open("close");
        //System.out.println("DEX FILE cookie is " + mCookie);
    }

解决方法:

指定dexoutputpath为APP自己的缓存目录,通过context.getDir(“dex”,0)。作为dex的加载目录。

也就是用app的私有目录,data/data/应用程序包名下创建一个dex目录放置该dex,并作为加载目录。

加入以下代码即可:

File dexOutputDir = context.getDir("dex", 0);

DexClassLoader loader= new DexClassLoader(dexpath, dexOutputDir.getAbsolutePath(), null, ClassLoader.getSystemClassLoader().getParent());




parallelyk
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决遇到动态加载jar安全的问题。
fzx19910714的博客
11-16 857
Optimized data directory /mnt/sdcard is not owned by the current user 最近在研究android下的动态加载,然后发现当我加载sd卡下的apk的时候会提示以下错误: Optimized data directory /mnt/sdcard is not owned by the current user. Shar
Android Q Labs| Android Q 分区存储
weixin_34349320的博客
05-25 1473
Shared Storage/外部存储区 首先我们先来明确一下什么是外部存储区? 外部存储区的英文名字叫 shared storage,也能更直观的反映出外部存储区的概念,它是一块共享的区域,应用写到这个区域的内容,取得 shared storage 权限的其他应用都可以直接访问。 我们看到的这些方法,他们所获取内容的位置通常都是在这块外部存储区。除了前三个分别用于获取文件、缓存文件、媒体文件目...
optimized /data/user/0/xx is now owned by the current user
05-28 2005
遇到这个问题 就看到大概是个 权限的问题,然后直接先上百度https://stackoverflow.com/questions/29253434/android-dexclassloader-error-optimized-data-directory-not-owned-by-current 多用户Android DexClassLoader error, ‘optimized data dir
【Android】-- 数据存储(一)(共享参数SharePreferences、数据库SQLite)
张修宇的博客
09-24 1780
Android几种数据存储方式:共享参数SharePreferences、数据库SQLite、数据库管理器SQLiteDatabase、数据库帮助器SQLiteOpenHelper
android4.1.2 DexClassLoader is not owned by the current user 问题
Jingle的专栏
09-30 1685
2013-03-13 14:221496人阅读评论(1)收藏举报 is not owned by the current user. Shared storage cannot protect your application from code injection attacks. 在4.1进行资源动态加载时出现上述问题。 解决方法:http://weibo.com/junjiey
Detection and Prevention of Code Injection Attacks on HTML5-based Apps
02-10
Detection and Prevention of Code Injection Attacks on HTML5-based Apps
SQL Injection Attacks and Defense.pdf
12-05
SQL Injection Attacks and Defense.pdf
SQL Injection Attacks and Defense 2nd Edition
07-27
SQL注入经典书,提高SQL技巧的必读书籍。。。。。。。。
SQL Injection Attacks and Defense
06-03
English, PDF, SQL Injection Attacks and Defense
第 7 章 Shared Storage
weixin_34342578的博客
01-02 400
cluster file system 目录 7.1. Oracle OCFS2 7.1.1. 安装 7.2. GFS2 7.3. fam & imon 7.1.Oracle OCFS2 7.1.1.安装 原文出处:Netkiller 系列 手札 本文作者:陈景峯 转载请与作者联系,同时请务必标明...
APK的安全(二)--如何防御
NoClay's Home
09-18 2390
如何防御1.代码混淆原理:“用不能直接猜出含义的通用变量名和函数名a,b,c等”替换编译后程序包中“具有明显语义信息的变量名和函数名”。这样,通过逆向工程得到的只是 难以理解 的代码。从混淆的原理可以得出以下两点信息: 重命名变量名可能会导致程序异常。因为程序是需要跟平台交互的,平台只会以固定类名来调用我们的app,这就涉及到需要屏蔽不能重命名的函数及类 proguard.cfg文件就是起这个作用的
热修复——深入浅出原理与实现
weixin_34290631的博客
11-14 464
一、简述热修复无疑是这2年较火的新技术,是作为安卓工程师必学的技能之一。在热修复出现之前,一个已经上线的app中如果出现了bug,即使是一个非常小的bug,不及时更新的话有可能存在风险,若要及时更新就得将app重新打包发布到应用市场后,让用户再一次下载,这样就大大降低了用户体验,当热修复出现之后,这样的问题就不再是问题了。 目前较火的热修复方案大致分为两派,分别是: 阿里系:DeXposed、a...
【Android高级】DexClassloader和PathClassloader动态加载插件的实现
将来的你
02-01 4943
(一)DexClassloader 一、基本概念:          在Android中可以跟java一样实现动态加载jar,但是Android使用德海Dalvik VM,不能直接加载java打包jar的byte code,需要通过dx工具来优化Dalvik byte code。          Android在API中给出可动态加载的有:DexClassLoader 和 Pa
数据库泰斗DeWitt:Shared-nothing架构落幕,Shared-storage架构归来
风轻扬
08-12 666
前阵子对云原生系统软件的主题做了一些研究思考,觉得有了比较清晰的思路后,我开始进一步研究业界对这个问题的看法。之前我曾经提出一种观点,在云时代应该重点考虑shared-storage架构,...
Android热修复学习(一)
以梦为马
06-22 9627
Classloader基础Classloader的简单定义: 通过类的全限定名来获取描述此类的二进制字节流,负责读取 Java 字节代码,并转换成 java.lang.Class 类的一个实例。每个类加载器都有一个父类加载器(包含的关系),顶级类加载器(native)除外。 独立的类名称空间 能够结合java类本身来确定该类在Java虚拟机中的唯一性。用通俗的话来说就是:比较两个类是否相等,只有
Android 动态加载 (一) 态加载机制 案例一
weixin_34032621的博客
03-26 85
在目前的软硬件环境下,Native App与Web App在用户体验上有着明显的优势,但在实际项目中有些会因为业务的频繁变更而频繁的升级客户端,造成较差的用户体验,而这也恰恰是Web App的优势。本文对网上Android动态加载jar的资料进行梳理和实践在这里与大家一起分享,试图改善频繁升级这一弊病。 Android应用开发在一般情况下,常规的开发方式...
Android应用安全之外部动态加载DEX文件风险
weixin_33736048的博客
01-23 258
1. 外部动态加载DEX文件风险描述 Android 系统提供了一种类加载器DexClassLoader,其可以在运行时动态加载并解释执行包含在JAR或APK文件内的DEX文件。外部动态加载DEX文件的安全风险源于:Anroid4.1之前的系统版本容许Android应用将动态加载的DEX文件存储在被其他应用任意读写的目录中(如sdcard),因此不能够保护应用免遭恶意代码的注入;所加载的DEX易...
Linux Python: 出现directory is not owned by the current user警告
热门推荐
tanmx219的博客
01-17 1万+
编译源代码的方式安装,在最后执行sudo make install的时候,出现如下警告The directory '/home/fkjava/.cache/pip/http' or its parent directory is not owned by the current user and the cache has been disabled. Please check the permi...
code injection
最新发布
04-07
Code injection, also known as remote code execution, is a type of security vulnerability that occurs when an attacker is able to insert and execute malicious code into a target system. This can happen in several ways, including through input fields, cookies, and other user inputs that are not properly validated or sanitized. Once the attacker is able to inject their code into the target system, they can potentially gain access to sensitive information, modify or delete data, and even take control of the entire system. Code injection attacks can be carried out against web applications, mobile apps, and desktop software. Examples of code injection attacks include SQL injection, cross-site scripting (XSS), and command injection. To prevent code injection attacks, developers should implement proper input validation and sanitization techniques, as well as use secure coding practices such as parameterized queries and prepared statements. Additionally, regular security audits and penetration testing can help identify and address any vulnerabilities before they can be exploited.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值