安全测试-AndroidManifest.xml元素分析(1)

已于 2022-07-27 16:32:25 修改
阅读量1.2k 收藏 3
点赞数
分类专栏: app安全测试 文章标签: android
于 2022-07-27 16:27:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34381178/article/details/125758424
版权

目录

简介

一、AndroidManifest.xml 样例

二、AndroidManifest.xml 元素

2.1  manifest 元素

2.2 xmlns:android 属性

2.3 package 属性

2.4 android:versionCode 属性

 2.5 android:versionName 属性

 2.6 application元素

2.7 android:allowBackup 属性

2.8 permission 元素

2.9 android:name 属性

2.10 android:protect ionLevel 属性

2.11 

2.12 android:name 属性

三、Activity 界面组件

3.1 android:name 属性

四、Service 服务组件

五、Receiver 消息组件

六、Provider 内容组件

简介

        一AndroidManifest官方解释是应用清单(Manifest意思是货单),我们可以这样理解为apk包反编译后每个应用的根目录中都必须包含一个,并且文件名必须为AndroidManifest。这个文件中包含了APP的配置信息,系统需要根据里面的内容运行APP的代码,显示界面。Android四大基本组件都需要声明才能使用,每个组件都需要在AndroidManifest.xml文件中进行配置。
Android四大组

❥Activity:界面组件,就是一个单独的窗口(如冷启动应用进入界面的就是launchable-activity)。
❥Service:服务组件,用于在后台完成用户指定的操作(如后台音乐播放)。
❥Contentprovider:内容组件,是一种数据共享型组件,用于向其他组件乃至其他应用共享数据(如短信和联系人应用之间的数据共享)。
❥Broadcastreceiver:消息组件,监听/接收应用App发出的广播消息并做出响应(如电话呼入,耳机插入)。AndroidManifest.xml 样例

一、AndroidManifest.xml 样例

以下 XML 文件为AndroidManifest.xml 的一个简单示例,该示例为应用声明8个 Activity

<?xml version="1.0" encoding="utf-8" standalone="no"?><manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.mwr.example.sieve">
    <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.INTERNET"/>
    <permission android:label="Allows reading of the Key in Sieve" android:name="com.mwr.example.sieve.READ_KEYS" android:protectionLevel="dangerous"/>
    <permission android:label="Allows editing of the Key in Sieve" android:name="com.mwr.example.sieve.WRITE_KEYS" android:protectionLevel="dangerous"/>
    <application android:allowBackup="true" android:debuggable="true" android:icon="@drawable/ic_launcher" android:label="@string/app_name" android:theme="@style/AppTheme">
        <activity android:clearTaskOnLaunch="true" android:excludeFromRecents="true" android:exported="true" android:finishOnTaskLaunch="true" android:label="@string/title_activity_file_select" android:name=".FileSelectActivity"/>
        <activity android:excludeFromRecents="true" android:label="@string/app_name" android:launchMode="singleTask" android:name=".MainLoginActivity" android:windowSoftInputMode="adjustResize|stateVisible">
            <intent-filter>
                <action android:name="android.intent.action.MAIN"/>
                <category android:name="android.intent.category.LAUNCHER"/>
            </intent-filter>
        </activity>
        <activity android:clearTaskOnLaunch="true" android:excludeFromRecents="true" android:exported="true" android:finishOnTaskLaunch="true" android:label="@string/title_activity_pwlist" android:name=".PWList"/>
        <activity android:clearTaskOnLaunch="true" android:excludeFromRecents="true" android:finishOnTaskLaunch="true" android:label="@string/title_activity_settings" android:name=".SettingsActivity"/>
        <activity android:clearTaskOnLaunch="true" android:excludeFromRecents="true" android:finishOnTaskLaunch="true" android:label="@string/title_activity_add_entry" android:name=".AddEntryActivity"/>
        <activity android:clearTaskOnLaunch="true" android:excludeFromRecents="true" android:finishOnTaskLaunch="true" android:label="@string/title_activity_short_login" android:name=".ShortLoginActivity"/>
        <activity android:clearTaskOnLaunch="true" android:excludeFromRecents="true" android:finishOnTaskLaunch="true" android:label="@string/title_activity_welcome" android:name=".WelcomeActivity"/>
        <activity android:clearTaskOnLaunch="true" android:excludeFromRecents="true" android:finishOnTaskLaunch="true" android:label="@string/title_activity_pin" android:name=".PINActivity"/>
        <service android:exported="true" android:name=".AuthService" android:process=":remote"/>
        <service android:exported="true" android:name=".CryptoService" android:process=":remote"/>
        <provider android:authorities="com.mwr.example.sieve.DBContentProvider" android:exported="true" android:multiprocess="true" android:name=".DBContentProvider">
            <path-permission android:path="/Keys" android:readPermission="com.mwr.example.sieve.READ_KEYS" android:writePermission="com.mwr.example.sieve.WRITE_KEYS"/>
        </provider>
        <provider android:authorities="com.mwr.example.sieve.FileBackupProvider" android:exported="true" android:multiprocess="true" android:name=".FileBackupProvider"/>
    </application>
</manifest>

二、AndroidManifest.xml 元素

2.1  manifest 

<manifest
xmlns:android="http://schemas.android.com/apk/res/android"
android:versionCode="1"
android :vers ionName="1.0"
package="com.mwr.example.sieve">

        首先,所有的 AndroidManifest.xml 都必须包含<manifest>元素。这是文件的根节点。它必须要 <application>元素,并且指明 xmlns:android package 属性。

2.2 xmlns:android 

 这个属性定义了Android 命名空间。

必须设置成"http://schemas.android.com/apk/res/android"。不要手动修改。

2.3 package 属性

包名也代着唯一的 appl ication ID,用来发布应用。包名由英文字母 (大小写均可) 、数 字和划线组成。每个独立的名字必须以字母开头。

参考:package="com.example.myapp"

2.4 android:versionCode 属性

的版本号。用来表明哪个版本更新。这个数字不会显示给用户。显示给用户的是 versionName。这数字必须是整数。不能用 16 进制,也就是说不接受 0x1这种参数

例:

 2.5 android:versionName 属性

对外发布版本号 

 2.6 application元素

<application
android:allowBackup="true"
android : icon="@mipmap/ic_ launcher"
android:roundIcon="@mipmap/ic_ launcher_round"
android : label="@string/app_name"
android:supportsRtl="true"
android:theme="@style/AppTheme">

       应用的声明,此元素包含用于声明每个应用组件的子元素,并且具有会影响所有组件的属性。

其中许多属性 (如 iconlabelpermiss ionprocesstaskAffinity al lowTaskReparenting) 会

件元素的相应属性设置默认值。其他属性 (如 debuggableenabled description allowClearUserData) 则为整个应用设置值,并且不能被组件替换。

2.7 android:allowBackup 属性

        是否允许应用参与备份和恢复基础架构。如果将此属性设为 false,则永远不会为该应用执 份或恢复,即使是采用全系统备份方法也不例外 (这种备份方法通常会通过 adb 保存所 有应用数据) 此属性的默认值为 true

2.8 permission 元素

<permission android:name="getu i.permission.GetuiService.com.tal.kaoyan"
android:protect ionLevel="normal"/>

明限制此应用安全权限。

2.9 android:name 属性

限的名称

2.10 android:protect ionLevel 属性

出于全考虑,Android 中对一些访问进行了限制,如网络访问 (需付费) 以及获取联系人  (及隐私) 等。应用程序如果想要进行此类访问,则需要申请相应权限。Android 对这些 限进行了四类分级,不同级别的权限对应不同的认证方式。

  *normal:低风险权限,只要申请了就可以使用 (在 AndroidManifest.xml 中添加

<uses-permission>标签) ,安装时不需要用户确认

  * dangerous:高风险权限,安装时需要用户的确认才可使用;

  * signature:只有当申请权限的应用程序的数字签名与声明此权限的应用程序的数字

签名相时 (如果是申请系统权限,则需要与系统签名相同) ,才能将权限授给它;

 *  signatureOrSystem:申请权限的应用数字签名与该应用数字签名相同,或者申请权限

的应用为系统应用才可以授权

2.11 <uses-permission>

指定用户必须授予的系统权限,以便应用正常运行。当 (在运行Android 5.1 和更低版本 上) 安装应用或 (在运行Android 6.0 和更高版本的设备上) 运行应用时,用户需要手 授予权限。

<uses-permiss ion android :name="android.permission.SYSTEM_ALERT_WINDOW"/> <uses-permiss ion android :name="android.permission. INTERNET"/>

<uses-permiss ion android :name="android.permission.WRITE_EXTERNAL_STORAGE"/> <uses-permiss ion android :name="android.permission.ACCESS_NETWORK_STATE"/>  <uses-permiss ion android :name="android.permission.ACCESS_WIFI_STATE"/>

2.12 android:name 属性

权限的名称。

三、Activity 界面组件

 声明实应用部分可视化界面的 Activity,必须用 AndroidManifest 中的 <activity>元素表示所  Activity。系统不会识别和运行任何未进行声明的Activity

3.1 android:name 属性

android:name 表示实现 Activity 的类的名称,是 Activity 的子类。

四、Service 服务组件

使用<service>将服务 (Service) 子类声明为应用的一个组件。与 Activity 不同,服务缺少可 视化界面,服务用于实现长时间运行的后台操作

五、Receiver 消息组件

使用<receiver>将广播接收器 (BroadcastReceiver 子类) 声明为应用的组件之一。广播接收器 许应用接收由系统或其他应用广播的 Intent

六、Provider 内容组件

 

应用中的有内容提供程序都必须在清单文件的 <provider> 元素中定义,声明内容提供程序 件。

 七、intent-filter

intent-filter 成中文就是意图过滤器,主要用来过滤隐式意图。当用户进行一项操作的 Android 系统会根据配置的意图过滤器 来寻找可以响应该操作的组件服务,由<action> <category> <data> 三个属性构成

   到这里我们基本掌握了AndroidManifest.xml 元素里面的属性内容,对我们后续进行app包体的安全测试业务有一定帮助,那本章节就先了解到这吧,咋们后面的章节再详细介绍与实践。

测试不止点点点
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实例解读AndroidManifest.xml
protoss_penguin的博客
07-13 5537
随手找了一份文件进行解读 内容如下
Android的Manifest配置文件介绍,30分钟轻松入门flutter
最新发布
2301_77110865的博客
04-07 1585
其实Android开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。上面分享的腾讯、头条、阿里、美团、字节跳动等公司2019-2021年的高频面试题,博主还把这些技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,上面只是以图片的形式给大家展示一部分。【Android思维脑图(技能树)】知识不体系?
android AndroidManifest.xml 权限示例
atgoingguoat的专栏
04-17 204
android 权限示例,考进项目"AndroidManifest.xml"就可用了。 具体就不说明了。哈哈。     &lt;uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" &gt; &lt;/uses-permission&gt; &lt;uses-permi...
AndroidManifest.xml文件校验工具
windy_ll的博客
06-02 861
一、前言     前段时间总能碰见AndroidManifest固定字节被篡改的情况,每次都要拿着图一个个去对比那个固定字节处被篡改了,干脆直接写了个校验工具,这里分享给大家,工具没什么技术含量,就是省事。(PS:UI写得丑,将就一下吧) 二、使用实例     PS:一些实际样本不知道丢哪里去了,这里用xctf的apk逆向2来做样本。     1、将AndroidManifest.xml提取出来,然后打开工具,找到文件路径,如下所示:     2、如果xml文件固定字节被篡改了的话,校正按钮就可以变得可
AndroidManifest.xml 最全详解
anzhenji7632的博客
12-21 5604
AndroidManifest.xml 是每个android程序中必须的文件,它位于整个项目的根目录。我们每天都在使用这个文件,往里面配置程序运行所必要的组件,权限,以及一些相关信息。但是对于这个文件,我们真正又了解多少了,还是只是停留在只会简单的配置,而不明白其中的具体含义,以及为什么要这样设置?今天就让我们来详细的学习一下这个文件里各项参数的具体含义,因为它是整个应用的入口,所以有助...
AndroidMainfest.xml详解——<provider>
o190847959的专栏
01-11 1892
语法:<provider android:authorities="list" android:enabled=["true" | "false"] android:exported=["true" | "false"] android:grantUriPermissions=["true" | "false"] and
AndroidManifest.xml uses-feature功能详解
09-01
《AndroidManifest.xml uses-feature功能详解》 在Android应用开发中,`AndroidManifest.xml` 文件扮演着至关重要的角色,它是应用程序的元数据中心,包含了应用程序所需的权限、组件信息以及硬件需求等。其中,`...
Android学习笔记之AndroidManifest.xml文件解析(详解)
09-03
总结来说,`AndroidManifest.xml`文件是Android应用的灵魂,它提供了关于应用组件、权限、系统需求和测试的全面信息。理解和熟练操作这个文件是成为一名合格Android开发者的基础。通过合理的配置,开发者可以确保...
AndroidManifest.xml+G+÷
05-01
大多数Android的XML文件,包括AndroidManifest.xml,都会包含一个`xmlns:android`声明,定义了Android特有的属性,使得我们可以使用这些属性来设置元素的特性。 9. **文件结构**: - `manifest`: 根节点,包含...
AndroidManifest.xml文件综合详解[整理].pdf
10-19
《AndroidManifest.xml文件综合详解》 AndroidManifest.xml文件是Android应用程序的核心组成部分,它包含了应用程序的全局配置信息,是每个Android应用不可或缺的文件。这个文件的作用在于向Android系统提供应用...
AndroidManifest.xml解析
12-18
《深入理解AndroidManifest....理解和掌握AndroidManifest.xml的解析至关重要,它直接影响到应用的正常运行、用户体验以及安全性。开发者应根据实际需求,合理配置AndroidManifest.xml,确保应用的功能完整且安全可控。
AndroidManifest.xml中含盖的安全问题详解
08-19
主要介绍了AndroidManifest.xml中含盖的安全问题,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
AndroidManifest.xml文件详解(provider)
编程资料大全
05-19 1433
语法(SYNTAX): &lt;providerandroid:authorities="list" android:enabled=["true" | "false"]android:exported=["true" | "false"]android:grantUriPermissions=["true" | "false"]and
【论文总结】检测和测量Android 应用程序中Manifest配置错误
Ohh24的博客
12-19 624
这是来自CCS 2022的一篇论文《Detecting and Measuring Misconfigured Manifests in Android Apps》,作者如下:Yuqing Yang, Mohamed Elsabagh, Chaoshun Zuo, Ryan Johnson, Angelos Stavrou, Zhiqiang Lin。
android之manifest.xml内provider详解
少爷
02-21 5272
如 name所对应的项为(contentProvider(数据存储))的具体操作的类; authorities(授权):即访问这个.MyContentProviderDemo类的权限,说明---com.content.MyUsers是可以访问的,别的类可以通过Uri = Uri.parse("content://" + AUTHORITY); public static final
关于AndroidManifest.xml 添加多个 provider节点问题
热门推荐
Luck_mw的博客
02-10 2万+
我们知道在android7.0,修改了对私有存储的限制,导致在获取资源的时候,不能通过Uri.fromFile(..)来获取uri了,但是在写入数据的时候是可以通过Uri.fromFile(..)来获取uri的,android 官网给出的解决办法是通过FileProvider来解决这一问题,我们需要在AndroidManifest.xml 配制provider节点 provider
Android从零开始-AndroidManifest.xml解析
起风了的专栏
12-28 1979
Android开发从零开始,提供从环境搭建到Android入门的基本教程,旨在引导广大开发者入门,关于Android深入细节等各种技术的学习,还请参考Android官方教程和demo。 官方网站:https://developer.android.com/ Android是一个庞大系统,不仅可以作为手机开发,在车载、电视等都能很好的兼容,无论针对哪种设备开发,核心不变,学好基础才是最重要的。 该章节重点讲解Android配置文件Manifest的各个标签,主要参考google开发者网站关于配置文件的讲
AndroidManifest.xml文件简介
格物致知的专栏 [音视频编解码 网络协议 计算机视觉 计算机图形学 图像理解 语音识别 机器学习 模拟电路 传感器]
11-05 1601
每个应用项目必须在的根目录中加入文件(且必须使用此名称)。清单文件会向 Android 构建工具、Android 操作系统和 Google Play 描述应用的基本信息。如果您使用构建应用,则系统会为您创建清单文件,并在您构建应用时(尤其是在使用时)添加大部分基本清单元素
移动安全(4) - Android应用完整性校验
菜鸟的测试世界
04-13 2090
破坏完整性实验 完整性校验的目的就是防止Android客户端程序被篡改/二次打包,下面以篡改资源文件为例来做实验: 1. apk解包 解包命令:java -jar apktool_2.5.0.jar d exampleapp.apk -o out 解包结果: 2. 修改源文件 找到first_layout.xml这个文件,也就是第一个activity的布局文件,里面的button原本显示的文字是Button1,现在修改为Button10-modified 3. 重新打包 打包..
E:\JIULANG\WordsFairy\App\app\build\intermediates\tmp\manifest\androidTest\debug\tempFile1ProcessTestManifest11394250735464286492.xml:27:9-33:20 Error: android:exported needs to be explicitly specified for element <activity#androidx.test.core.app.InstrumentationActivityInvoker$BootstrapActivity>. Apps targeting Android 12 and higher are required to specify an explicit value for `android:exported` when the corresponding component has an intent filter defined. See https://developer.android.com/guide/topics/manifest/activity-element#exported for details. E:\JIULANG\WordsFairy\App\app\build\intermediates\tmp\manifest\androidTest\debug\tempFile1ProcessTestManifest11394250735464286492.xml:34:9-40:20 Error: android:exported needs to be explicitly specified for element <activity#androidx.test.core.app.InstrumentationActivityInvoker$EmptyActivity>. Apps targeting Android 12 and higher are required to specify an explicit value for `android:exported` when the corresponding component has an intent filter defined. See https://developer.android.com/guide/topics/manifest/activity-element#exported for details. E:\JIULANG\WordsFairy\App\app\build\intermediates\tmp\manifest\androidTest\debug\tempFile1ProcessTestManifest11394250735464286492.xml:41:9-47:20 Error: android:exported needs to be explicitly specified for element <activity#androidx.test.core.app.InstrumentationActivityInvoker$EmptyFloatingActivity>. Apps targeting Android 12 and higher are required to specify an explicit value for `android:exported` when the corresponding component has an intent filter defined. See https://developer.android.com/guide/topics/manifest/activity-element#exported for details.
07-25
这个错误是由于你的AndroidManifest.xml文件中的一些测试活动(InstrumentationActivityInvoker)缺少了`android:exported`属性的显式定义,而在目标为Android 12及更高版本的应用程序中,当组件具有定义的意图过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值