AndroidManifest.xml文件——安全属性(app风险)

最新推荐文章于 2024-09-04 14:43:24 发布
最新推荐文章于 2024-09-04 14:43:24 发布
阅读量8.5k 收藏 7
点赞数 1
分类专栏: android开发小栈 文章标签: 安全 android组件 android安全 android反编译 清单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_15877283/article/details/50903606
版权

转载请标明出处:
http://blog.csdn.net/sinat_15877283/article/details/50903606
本文出自: 【温利东的博客】

起因:

昨天下午收到一封邮件,内容如下:

这里写图片描述

还附上了一份《安全检测报告》 。 ps: 我的内心是抓狂的!抓狂的!抓狂的!(有好几个问题竟然是因为拿不到我的清单文件就说我的程序存在异常)
郁闷归郁闷,还是针对于这份检测报告乖乖的写了一篇 针对于该《安全检测报告》的中问题的分析和解决方案。
这里写图片描述

借此事件,记录一下关于 清单文件中几个可能会引起安全问题的属性。

干货内容:

  • android:debuggable 属性的设置可能会引起 被动态调试的风险。
 <application
        android:icon="@drawable/ic_launcher"
        android:label="@string/app_name"
        android:theme="@style/AppTheme" 
        android:debuggable="true">

debuggable 属性有两个值“true|false”;
只有android:debuggable=”true”时我们才可以在手机上调试Android程序。
但是当我们没在AndroidManifest.xml中设置其debug属性时:
使用Eclipse运行这种方式打包时其debug属性为true,使用Eclipse导出这种方式打包时其debug属性为法false.
在使用ant打包时,其值就取决于ant的打包参数是release还是debug.
因此在AndroidMainifest.xml中最好不设置android:debuggable属性置,而是由打包方式来决定其值。
如果设置了 android:debuggable=”true” 那么在正式打包时 把它设置成false吧!!!

  • android:allowBackup 属性的设置可能会引起用数据被任意备份的风险
<application
            android:allowBackup="false"
            android:label="@string/app_name">
        ......
    </application>

Android API Level 8 及其以上 Android 系统提供了为应用程序数据的备份和恢复功能,此功能的开关决定于该应用程序中 AndroidManifest.xml 文件中的 allowBackup 属性值,其属性值默认是 True。当 allowBackup 标志为 true 时,用户即可通过 adb backup 和 adb restore 来进行对应用数据的备份和恢复。
一旦应用程序支持备份和恢复功能,攻击者即可通过 adb backup 和 adb restore 进行恢复新安装的同一个应用来查看聊天记录等信息;对于支付金融类应用,攻击者可通过此来进行恶意支付、盗取存款等;因此为了安全起见,开发者务必将 allowBackup 标志值设置为 false 来关闭应用程序的备份和恢复功能,以免造成信息泄露和财产损失。

  • android:exported 属性的设置可能会引起用组件导出的风险。
     android:exported=["true" | "false"]

android:exported 是Android中的四大组件 Activity,Service,Provider,Receiver 四大组件中都会有的一个属性。
如果设置了导出权限,都可能被系统或者第三方的应用程序直接调出并使用。 组件导出可能导致登录界面被绕过、信息泄露、数据库SQL注入、DOS、恶意调用等风险。
主要作用是:是否支持其它应用调用当前组件。
默认值:如果包含有intent-filter 默认值为true; 没有intent-filter默认值为false。
请参考:android:exported 属性详解

附加:

androidManifest.xml的一些属性:

属性作用其它
android:allowBackup数据是否可备份[true/false] 默认为true 其属性值默认是 True。当 allowBackup 标志为 true 时,用户即可通过 adb backup 和 adb restore 来进行对应用数据的备份和恢复。https://segmentfault.com/a/1190000002590577
android:debuggable调试状态“使用Eclipse运行这种方式打包时其debug属性为true,使用Eclipse导出这种方式打包时其debug属性为法false.在使用ant打包时,其值就取决于ant的打包参数是release还是debug.”http://blog.csdn.net/hudashi/article/details/8698142
android:exported是否支持其它应用调用当前组件默认值:如果包含有intent-filter 默认值为true; 没有intent-filter默认值为false。http://blog.csdn.net/watermusicyes/article/details/46460347
android:launchMode启动模式[“singleTop”/”singleTask”/”singleInstance”] “standard” (默认)
android:sharedUserIdLinux用户ID
android:installLocation安装位置[“auto” / “internalOnly” / “preferExternal”]http://xin3336019-sina-com.iteye.com/blog/1845766

属性太多了,就先写到这里吧…… 希望我的分享对你有帮助

转载请标明出处:
http://blog.csdn.net/sinat_15877283/article/details/50903606

wenld_
关注
专栏目录
android配置文件AndroidManifest.xml之权限申请
热带雨林-的博客
06-04 1万+
<?xml version="1.0" encoding="utf-8"?> <manifest xmlns:android="http://schemas.android.com/apk/res/android" package="s1.ppp.com"> //网络权限 <uses-permission android:name="and...
AndroidManifest.xmlandroid:name功能介绍
热门推荐
zeng622peng的专栏
10-25 2万+
大部分android程序员一把呢都是使用默认的Application,在Application内部没有使用过android:name属性。 下面详细说一下过android:name属性android:name属性——是用来设置所有activity属于哪个application的,默认是android.app.Application。 当然也可以自己定义一个类,例如:pub
Launcher AndroidManifest.xml属性
01-04 1367
Launcher.java在AndroidManifest.xml里的属性如下: <activity android:name="com.android.launcher2.Launcher" android:launchMode="singleTask" android:clearTaskOnLaunch="true"
AndroidManifest.xml文件解析
最新发布
2301_78976656的博客
09-04 622
在Java项目中解析AndroidManifest.xml文件,你可以使用多种库来解析XML文件,如(Java自带的XML解析器)或者第三方库如JDOMDOM4J, 或者Jsoup(尽管Jsoup主要用于HTML,但也可以用于XML)。不过,对于标准的XML解析,使用Java自带的和XPath是一个很好的选择,因为它既强大又灵活。以下是一个简单的示例,展示如何使用Java的和XPath。
android组件导出权限,AndroidManifest.xml中含盖的安全问题详解
qq_33209777的博客
03-09 963
android组件导出权限,AndroidManifest.xml中含盖的安全问题详解
关于AndroidManifest.xml中的android:debuggable
xwv
02-14 1204
  在AndroidManifest.xml中,&lt;application&gt;可以设置attribute android:debuggable,其值为“true”或“fasle”。   在官方文档中对它的说明如下:   Whether or not the application can be debugged, even when running on a device ...
android关于AndroidManifest.xml详细分析 清单文件解析
知识搬运工,资料任你拿,包括书籍、电影、电视剧、网站、软件等,VX公人人人号:向前书局
07-25 2228
一、关于AndroidManifest.xml AndroidManifest.xml 是每个android程序中必须的文件。它位于整个项目的根目录,描述了package中暴露的组件(activities, services, 等等),他们各自的实现类,各种能被处理的数据和启动位置。 除了能声明程序中的Activities, ContentProviders, Services, 和Intent
AXMLPrinter2 AndroidManifest.xml to AndroidManifest.txt
08-23
Android应用开发中,`AndroidManifest.xml`是一个至关重要的文件,它定义了应用程序的基本属性、权限、组件(如Activity、Service、BroadcastReceiver和ContentProvider)以及它们之间的关系。`AXMLPrinter2`是一...
AndroidMainfest.xml详解——<uses-permission/>
o190847959的专栏
11-23 3887
最近几年看了很多大神的博客和GitHub,自己想写、但是每次都觉得太麻烦了,而都放弃了。今天开始我打算把知识系统的和小伙伴们一起回顾分享一下,每篇文章可能不长,但是会按照类别找一些零散的时间依次更新。正如标题所讲,先从清单中的说起。 当我们在Android系统总使用某些权限时,需要在 AndroidMainfest.xml清单中加入相应的权限,他是系统的一种安全机制 uses-permissi
Android入门(10)——AndroidManifest.xml配置文件介绍
我的专栏
07-05 589
1. 介绍 2. 常用标签解读: 3. 全局信息配置 关于这个8和16,以16为例:API level16,期望的安卓版本为4.1以上。 4. 在配置文件中注册组件: 注意:一个AndroidManifest中只能包含一个application节点。 下面介绍组件内容: 注意:关于name,一般采用包名+活动名。关于活动的位置,
第三十九讲:AndroidAndroidManifest.xml文件中注册权限
11-12 1145
积土而为山,积水而为海。——《荀子·儒效》 本讲内容:android权限详细 1 访问登记属性 android.permission.ACCESS_CHECKIN_PROPERTIES ,读取或写入登记check-in数据库属性表的权限    2 获取错略位置 android.permission.ACCESS_COARSE_LOCATION,通过WiFi或移动基站的方式获取用户
Android 反动态调试
05-07
Android 检查动态调试 最近项目中,三方安全报告中一直存在动态调试检测的高危漏洞。经过多次探索研究,参考了网上不少示例,集大家所成,研究在Android studio 3.0以上,可以使用的示例代码。
android 组件导出安全,AndroidManifest.xml中的安全问题解读
weixin_39792475的博客
05-26 545
0x00 关于AndroidManifest.xmlAndroidManifest.xml 是每个android程序中必须的文件。它位于整个项目的根目录,Manifest文件提供有关应用程序到Android系统的基本信息,系统必须具有该信息才能运行任何应用程序的代码。换句话说APP是跑在Android系统上,既然要跑在其上,就必须提供信息给Android System,这些信息就存在Android...
安全检测风险
Errol's Blog
07-26 2734
允许用户备份系统应用和第三方应用的apk安装包和应用数据,以便在刷机或者数据丢失后恢复应用,用户即可通过adbbackup和adbrestore来进行对应用数据的备份和恢复。第三方应用开发者需要在应用的AndroidManifest.xml文件中配置allowBackup标志(默认为true)来设置应用数据是否能能够被备份或恢复。在app上的具体表现是比如游戏登陆时调用微信的Activity登陆组件,微信的Activity登陆组件就是可被导出的。URL地址,进行删除;....................
Android 开发 | 运行配置文件 AndroidManifest.xml
无夜之星辰的博客
06-11 1145
指定了 App 的运行配置信息,它是一个 XML 描述文件。
Android 逆向调试方法及Smail文件结构 解决反编译失败 AndroidManifest.xml加密
qq_41891425的博客
07-07 1890
建一个basic Activity项目 2.文件构造 app—>src—>java
常见的xml实体解析导致的安全风险有哪些_软件源码安全攻防之道(下)
weixin_39811166的博客
11-02 3334
点击“蓝字”关注我们吧上次咱们讲完了源码安全漏洞利用常见的几个姿势,本文接着来对对应的防御技术进行说明。改一个漏洞一般会比较简单,但是如何通过安全编程来避免一类某种类型的漏洞出现就会比较麻烦。其实,防御的原则相对比较好总结,主要就一个字“控”:控输入、控过程、控输出。“控”字做好了,防御也就可以随之构建起来。●源码安全漏洞的防守之道●01把好入口关,输入严校验这里的输入是相对的,取决于...
为什么AndroidManifest.xmlandroid:debuggable="false"时还是可以调试呢!
wugezi的博客
06-22 5313
点击打开链接
安卓APP开发教程及源码——Dragonfly.zip完整分享
4. 项目资源文件结构:Dragonfly.zip项目中可能包括了安卓项目的各种资源文件,如布局文件(XML)、资源文件(drawable)、值文件(values)、安卓清单文件(AndroidManifest.xml)、Java/Kotlin源代码文件等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值