记录一次安卓开发---Android漏洞问题

最新推荐文章于 2022-10-27 07:56:01 发布
最新推荐文章于 2022-10-27 07:56:01 发布
阅读量400 收藏
点赞数
分类专栏: Android 漏洞 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35728142/article/details/127335274
版权

Android漏洞问题

Android-gif-Drawable远程代码执行漏洞
将Android-gif-Drawable更新至1.2.18及以上版本

漏洞代码CWE-530
将 AndroidMainfest.xml 文件中的 allowBackup 属性值设置为 false

漏洞代码CWE-276
禁止其他多余的应用功能授权访问此应用,如非必要,自定义权限的保护级别至少要设置为:signature或者signatureOrSystem

漏洞代码CWE-926
将 AndroidMainfest.xml 文件中的 Activity的android:exported属性值设置为 false,MainActivity除外
设置Service的android:exported属性为false或者通过设置自定义权限来限制对Service的访问
设置 AndroidManifest.xml 中的 Broadcast Receiver 组件 EXPORTED 属性为 false

漏洞代码CWE-22
限制组件权限。如果ContentProvider组件只是自己app使用,则设置exported=”false”,如果要提供数据给其他app使用,则提高组建权限,如:使用protectionLevel=”signature”及以上的权限

漏洞代码CWE-89
如果程序中的特殊原因需要把targetSdkVersion设置为低于17的时候,基于webView的安全漏洞需要对webView.load指定的url/path指定的html/js 进行认证与完整性验证,确认load的指定url/path不会因为篡改注入远程控制的代码
targetSdkVersion为26为合适

Web Storage数据泄露风险
不使用LocalStorage 和 SessionStorage来存储敏感数据

中尼、木木
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android-物联网环境监测数据中心-物联网项目开发
08-13
1. **Android开发基础**: Android是一种开源的操作系统,广泛应用于智能手机和平板电脑。Android Studio是Google提供的官方集成开发环境(IDE),它包含了编写、调试和发布Android应用所需的所有工具。在这个项目...
Android-PasswordManager一个密码管理小应用
08-13
2. **Kotlin**:PasswordManager可能使用Kotlin作为主要编程语言,它是一种现代、类型安全的语言,被Google官方推荐用于Android开发。 3. **SQLite数据库**:用于存储用户创建的密码记录Android内置了SQLite...
捕获异常
weixin_30318645的博客
12-13 66
try { } catch(Expection ex) { Response.Write(ex.Message); } 转载于:https://www.cnblogs.com/yueyuepeng/p/4161008.html
Android静态安全检测 -> 自定义权限的保护级别
4lwin博客
07-13 4374
自定义权限的保护级别 - protectionLevel属性 1. Manifest文件中权限相关的知识 标签 语法定义 属性 android:name 可以是系统的权限名称,也可以是其他APP通过标签声明的权限名称(用于两个应用之间的交互) android:maxSdkVersion 标注该权限所支
漏洞发展趋势安全堪忧的设备
最新发布
m0_73803866的博客
10-27 626
Adobe 公司在 2005 年收购 Flash,并大力推广应用使其一度是漏洞挖掘人员的研究焦点,根据图 3.4 的历史数据可以看到,2015 和 2016 年爆出的漏洞总数占据整体数量的 55.09%。在 Hacking Team 泄 露 CVE-2015-5122 和 CVE-2015-5199 这两个 0day 漏洞之后,更是给漏洞利用带来了通用的模板 1,但 之后随着 Adobe 引入了隔离堆、Vector 长度检测、CFG保护等安全机制,Flash 漏洞利用的门槛被加 大了很多。 图 3.4 FL
安卓开发安全问题
01234567890
10-31 782
1. 组件暴露——Activity,Service,BroadcastReceiver说明: 当应用程序的组件被导出后,导出的组件可以被第三方app任意调用,从而导致敏感信息泄露,而且恶意攻击者也可以通过精心构造数据来达到攻击目标应用的的目的。 修复:如果组件不需要与其他应用共享数据或进行交互,则在AndroidManifest.xml文件中设置该组件为 exported = “false”
android:exported属性
yzpbright的博客
02-10 2418
android:exported 是Android中的四大组件 Activity,Service,Provider,Receiver 四大组件中都会有的一个属性。 主要作用是:是否支持其它应用调用当前组件。 默认值:如果包含有intent-filter 默认值为true; 没有intent-filter默认值为false。 ...
Android-移动端API测试平台实现移动端前后台分离开发
08-13
Android开发中,我们通常使用HTTP或HTTPS协议来与后端进行通信,这涉及到网络请求库,如OkHttp、Retrofit或Volley。Retrofit是一个流行的Java和Kotlin库,它可以方便地将接口方法映射到HTTP请求,简化了网络调用的...
Android-ParrotSnoop-用于IP数据包捕获的Android应用
08-13
ParrotSnoop的出现,为开发者提供了一种在移动环境中实时查看HTTP、HTTPS和其他网络协议交互的方法,有助于诊断网络问题、检测潜在的安全漏洞和优化应用性能。 ParrotSnoop的工作原理基于Linux内核中的`tcpdump`...
Android-Droidefense:高级的Android恶意软件分析框架
08-12
Android-Droidefence是一个专门为Android恶意软件设计的高级分析框架,它旨在帮助安全研究人员和开发者深入理解恶意软件的行为、功能以及潜在的危害。这个框架结合了多种技术,包括静态分析、动态分析和反编译工具,...
android_gif_drawable开源库最新版
01-07
用法见:https://github.com/koral--/android-gif-drawable github上android显示gif的开源库最新版,加入了对64位处理器的支持,网络不好的可以在这下载。
android-gif-drawable
04-09
android-gif-drawable 开源组件,需要的朋友下载
Service属性介绍: android:exported
stone的专栏
04-15 7789
android:exported 这个属性用于指示该服务是否能够被其他应用程序组件调用或跟它交互。如果设置为true,则能够被调用或交互,否则不能。 设置为false时,只有同一个应用程序的组件或带有相同用户ID的应用程序才能启动或绑定该服务。 它的默认值依赖与该服务所包含的过滤器。没有过滤器则意味着该服务只能通过指定明确的类名来调用,这样就是说该服务只能在应用程序的内部使用(因为其他外部使
Androidandroid exported="false"作用
LVXIANGAN的专栏
12-29 1万+
android:exported 是Android中的四大组件 Activity,Service,Provider,Receiver 四大组件中都会有的一个属性。主要作用是:是否支持其它应用调用。    在漏洞检测中,我们可能会遇到以下提示:     程序A如果不想被其他的程序调用自己的activity,service,或者是receiver的时候,只要在AndroidManifest....
安卓 drawable文件无法引用_由恶意GIF文件引发的RCE漏洞,超过40000个应用受影响...
weixin_39886251的博客
11-19 186
本月初,新加坡安全研究员@Awakened披露了关于WhatsApp(2.19.244之前版本)存在的RCE漏洞(CVE-2019-11932)利用的文章,该漏洞Android-gif-Drawable开源库中double-free错误触发。攻击者通过向WhatsApp用户发送一个精心制作的恶意GIF文件,就可以获得WhatsApp的应用权限,在手机端进行SD卡读取、音频录制、摄像头访...
android远程代码执行漏洞,7 月 Android 安全补丁发布,修复远程代码执行漏洞
weixin_39717865的博客
05-26 210
七月份刚开始,谷歌就发布了 2019 年 7 月安全补丁,其中修复的内容涉及Android 系统、框架、库、Media 框架、Qualcomm 组件和闭源部分的Qualcomm 组件等 33 个安全漏洞。特别是 Media 框架中三个严重的远程代码执行漏洞( remote code execution,RCE) 和 Android 系统中的另一个 RCE。本次安全补丁包含2019-07-01...
android:exported 属性详解
热门推荐
ZhangGeng's Blog
06-11 18万+
为什么会把这个属性单独拿出来学习呢?是因为我在用360漏洞扫描应用时,扫描结果,出来一个android:exported属性,其实之前根本不知道这个属性,更不知道这个属性用来干嘛的,详情见下图: 因此,我决定查了官方API,学习了一下这个属性!android:exported 是Android中的四大组件 Activity,Service,Provider,Receiver 四大组件中都会有的
AndroidManifest中android:exported="false"
LVXIANGAN的专栏
07-13 1万+
1. android中的数据存储与查询 1.1 数据存储 众所周知,Android中的数据多是存储在Sqlite数据库中,这个文件一般在手机的系统路径如:/data/data/com.xx.yy/databases/zzz.db。其中com.xx.yy为包名。zzz.db名字随意,为数据库文件。 在安卓应用程序中,有一个非常重要的组件,即“content provider”
物联网漏洞分类总结
Chary的Blog
07-12 3835
一、物联网漏洞分类 二、造成漏洞的原因 1 不安全的Web接口 一般情况下,攻击者首先会在智能设备的Web接口中寻找XSS、CSRF和SQLi漏洞。此外,这些接口中还经常出现“默认用户名和密码”和“缺乏帐户锁定机制”之类的漏洞。 设备类型 设备名称 CWE 安全影响 Heatmiser恒温器 CWE-598:通过GET请求中的查询字符串泄露信息 攻击者可以访问设备的所有设置,进而根据攻击者的意愿来随意更改各种设置,例如时间或温度。 工业无线接入点Moxa AP CWE-79:网页生成过程中没有对输入进行严
基于Android的移动APP英语错题袋的设计与开发——以《上海版牛津英语6(A)》教材为例.pdf
06-21
本文的主要贡献在于,提出了一个基于Android的移动APP英语错题袋的设计和开发方法,旨在为中小学英语错题管理提供一个信息化英语教学评价系统。该系统可以帮助学生更好地管理错题,进行个性化知识漏洞修正,并促进教...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值