安卓导出组件activity拒绝服务漏洞(Drozer调试)

最新推荐文章于 2024-05-31 23:30:00 发布
最新推荐文章于 2024-05-31 23:30:00 发布
阅读量3.9k 收藏 5
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45676913/article/details/109055274
版权
  • App在AndroidManifest.xml文件中设置了Activity为导出,导致该组件可以被第三方程序调用,并可以通过Intent接受参数传入。如果这些组件在从Intent获取参数的时候没有对其合法性进行校验,且代码没有使用异常处理,则会导致App抛出异常无法被捕获,进而导致App崩溃。第三方恶意程序可以通过在后台不断发送能够使App崩溃的Intent,使得程序无法正常运行

漏洞危害

  • 第三方恶意程序可以通过在后台不断发送能够使App崩溃的Intent,使得程序无法正常运行

检测方法

1.参考Drozer官方文档对PC、测试手机进行配置;

2.PC连接模拟器

  • adb connect 127.0.0.1:7555

3.模拟器中运行Drozer

在这里插入图片描述
4.配置端口转发

  • adb forward tcp:31415 tcp:31415

5.启动Drozer控制台

  • drozer console connect

最低0.47元/天 解锁文章
高木正雄
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Android安全检测 - 组件导出风险
qq_35993502的博客
06-22 3361
市面上有很多的在线Android安全扫描工具,比如梆梆的安全检测平台、360显危镜、爱加密安全检测平台等等,自动化工具出来的结果大多数情况下都是非准确的,都需要人工进行复核。这一章我们来学习Activity导出风险,学习如何准确的确认是否有漏洞。 一、漏洞原理 app的四大组件Activity,Service,Broadcast Receiver 和Content Provider,如果设置了导出权限,都可能被系统或者第三方的应用程序直接调出并使用。组件导出可能导致登录界面被绕过、越权、恶意调用等风险。
android 组件暴露风险,Activity组件暴露导致本地拒绝服务
weixin_34245159的博客
05-25 1324
这几天团队打算一起学习Android App漏洞挖掘方面的知识,于是乎拿了一个app当测试例子,争取在上面找到漏洞。在学习过程中发现Android四大组件的安全性还是占有较大的比重,另外比较关心的是数据的安全性。数据泄漏、明文存储等和数据相关都是比较重要的。但是今天找到的一个漏洞是关于Activity组件的,本地拒绝服务漏洞。同时学习了drozer的使用方法,利用drozer帮忙找漏洞。下面总结一...
安全风险 - 组件导出风险
最新发布
Android、前端、小程序、后端
05-31 1975
在安全审查中关于组件导出风险是一种常见问题,不同组件都有可能遇到这种问题,而且从一定角度来看的话,如果涉及到三方业务,基本处于无法解决的场景,所以我们需要说明为何无法避免这种风险
android中通用拒绝服务漏洞
yuanyl的专栏
02-10 1676
漏洞的描述见链接文章:http://www.cnxhacker.com/2015/01/07/5603.html 主要的原因是使用了Intent中getSerializableExtra() 的API,如果攻击程序使用了app未定义的序列化类,该方法抛出异常,如果未捕获该异常,则导致应用不断crash。如果Activity不需要对外暴漏,则将exported置为false即可。此外,就是针对A
android 组件导出安全,App安全检测实践基础:组件安全(二)
weixin_29044713的博客
05-26 566
系列文章目录Activity简述Activity是一个应用程序组件,提供一个屏幕,用户可以用来交互为了完成某项任务。Activity中所有操作都与用户密切相关,是一个负责与用户交互的组件,可以通过setContentView(View)来显示指定控件。在一个android应用中,一个Activity通常就是一个单独的屏幕,它上面可以显示一些控件也可以监听并处理用户的事件做出响应。Activity之...
安卓组件漏洞防护注意事项
weixin_30480075的博客
10-11 77
防止利用系统组件漏洞 原则:最小化组件暴露 设置组件访问权限 组件传输数据验证 暴露组件的代码检查 activity编码安全 私有activity: (1)不声明taskAffinity (2)不声明 LaunchMode (3) 设置exported为false (4) 保证intent发送时的安全性,确定Intent是来自本应用程序 (5)在确保本应用程序发送Intent的时候,可以防止一些敏...
安全测试-Drozer安全测试框架实践记录篇
qq_34381178的博客
08-06 4191
二、环境部署一、Drozer简介Drozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。其官方文档说道:“Drozer允许你一一个普通android应用的身份与其他应用和操作系统交互。”在Web世界已经有了许多安全测试工具了,我们只需要给出一个目标,这些工具就会自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同,Drozer是一种交互式的安全测试工具。......
Warship+NPOI导入导出组件
01-11
Warship+NPOI为一款基于NPOI的实体化Excel操作组件,包含丰富的组件化封装,全部基于实体化、对象化操作,不需要用户再对NPOI进行操作。 通用场景支撑: 1)头部校验 2)数据校验(必填、长度、范围、格式校验等...
Office组件间数据的导入与导出问题分析
07-05
Office软件是日常办公中最为常用的软件之一,但是其组件间的数据导入与导出对于很多人来说是一个较为棘手的问题。文章将通过一些实例,介绍Office组件间的数据导入以及导出的方法,帮助人们去解决这个问题。
Warship+NPOI导入导出组件(源代码+示例)
10-06
1.Warship定位:Warship是一款基于NPOI的优秀的Excel导入导出组件,基于实体、特性、注入、多线程、IOC实现Excel的导入和导出,是一款使用方便、扩展性强、性能优良的组件,开发者不需要关注如何操作NPOI,只需要对...
Java使用poi组件导出Excel格式数据
08-25
"Java使用poi组件导出Excel格式数据" Java使用poi组件导出Excel格式数据是我们在Java开发中经常遇到的一个需求。POI组件是Apache提供的组件包,主要职责是为我们的Java程序提供对于office文档的相关操作。在这篇...
excel导入导出组件(java)
07-11
这是我设计的excel导入导出组件,使用java 编写,通过xml文件的配置,来设置excel到java bean的映射。关键(配置)文件:ExcelModeMappingl.xml。 之前一直为excel的导入导出烦恼,每写一次都感觉是“重复造轮子”,...
android中activity无法启动的原因小结
HappyBear1995的博客
03-16 5353
android中activity无法启动的原因有很多,今日列出一些常见的问题和解决方案,供大家参考 1.未在AndroidManifest.xm文件中注册相应的activity 解决方案为在manifest文件的application节点下添加一个activity标签,注意android:name=“类名”中的类名一定不要拼错了 2.在主线程中进行了联网(如http请求,socket连接
安卓安全问题手册
白云天的博客
11-12 516
问题:RSA加密算法不安全使用带来的安全风险 RSA加密算法是一种非对称加密算法。当其密钥长度过短,通常认为长度小于512位时,就会存在较高的被破解风险;没有使用正确的工作模式和填充方式,将会存在重放攻击的风险。因RSA加密算法不安全使用造成的加密方法失效,可能造成客户端隐私数据泄露、加密文件破解、传输数据被获取、中间人攻击等后果,导致用户敏感信息被窃取。 解决方案 使用RSA算法进行数字签...
【安全测试工具】Drozer介绍及使用
songbai220
08-18 1400
一、前言: 项目测试间隙调研了下移动APP安全测试,发现不少文档都提到了Drozer这款安全测试工具,遂拿来学习并投入项目中实践下。 二、Drozer介绍: Drozer是一款针对Android的安全测试框架,分为安装在PC端的控制台、安装在终端上的代理APP两部分。可以利用APP的IPC通信,动态的发现被测试APP的安全风险。 三、安装 1、官方下载地址 https://labs.mwrinfosecurity.com/tools/drozer/ 2、安装比较...
Android安全开发之启动私有组件漏洞浅谈
AliMobileSecurity的博客
04-06 1752
如何解决私有组件导出组件启动带来的安全问题?
Android应用本地拒绝服务漏洞浅析
宝爷的专栏
04-08 2402
1.本地拒绝服务漏洞描述       Android系统提供了Activity、Service和Broadcast Receiver等组件,并提供了Intent机制来协助应用间的交互与通讯,Intent负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述,Android系统则根据此Intent的描述,负责找到对应的组件,将Intent传递给调用的组件,并完成组件的调用[1]。And
Android本地拒绝服务漏洞学习与复现
九天
04-07 5453
一、前言 本地拒绝服务一般会导致正在运行的应用崩溃,首先影响用户体验,其次影响到后台的Crash统计数据,另外比较严重的后果是应用如果是系统级的软件,可能导致手机重启。 漏洞触发前提条件: getIntent()的intent附带空数据、异常或畸形数据; 处理getXXXExtra()获取的数据时没有进行异常捕获; 二、漏洞原理 Android应用使用Int
sketchup 怎么导出组件尺寸
05-03
在 SketchUp 中导出组件尺寸可以使用插件或者内置的工具。 1. 使用插件 可以使用插件 "Cutlist" 或者 "Fabber" 来导出组件尺寸。 - Cutlist:可以将 SketchUp 模型中的组件导出为 Excel 表格,包括每个组件的尺寸...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高木正雄

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值