Android静态安全检查(一):组件暴露

最新推荐文章于 2023-07-03 20:54:13 发布
最新推荐文章于 2023-07-03 20:54:13 发布
阅读量3.8k 收藏 8
点赞数 1
分类专栏: 移动安全 移动安全 文章标签: Android 安全 静态分析 组件暴露
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010889616/article/details/80946925
版权
本文介绍了Android的四大组件,重点讨论了组件暴露可能导致的安全问题,包括敏感信息泄露、拒绝服务等。分析了组件暴露的检测规则,如android:exported属性设置,并给出了修复建议,如设置exported为false或避免在组件中处理敏感信息。
摘要由CSDN通过智能技术生成

Android四大组件简介

Android应用有四大组件Activity、Service服务、Content Provider内容提供者和Broadcast Receiver广播接收器。

  • Activity:在应用程序中,每个Activity通常就是一个单独的屏幕,显示控件并处理用户的响应事件,每一个看到的应用界面都是一个Activity。
  • Service:一个Service是以长生命周期的,没有用户界面的程序,可以用来开发后台服务或者监控类的程序。例如,当音乐播放器退出用户界面之后,还需要继续播放,通常会使用Context.startService()来启动一个后台服务,来保持音乐的持续播放。
  • Content Provider:每个应用程序都会有些数据存储,存储方式一般有5种(Android应用五种数据存储方式),Content Provider使一个应用程序的指定数据集提供给其他应用程序,例如通讯录、信息和通话记录等。
  • Broadcast Receiver:应用可以使用它对外部事件进行过滤只对感兴趣的外部事件(如当电话呼入时,或者数据网络可用时)进行接收并做出响应。广播接收器没有用户界面。然而,它们可以启动一个activity或
最低0.47元/天 解锁文章
dmfrm
关注
专栏目录
ActivityFuzzer:检测Android Activity组件安全漏洞
03-01
ActivityFuzzer:检测Android Activity组件安全漏洞
Android暴露组件——被忽略的组件安全
Lance_W
10-31 5821
Intent 简介: Intent(意图),负责完成Android应用、组件之间的交互与通信。 常见的Activity的调用、Receiver的发送、Service的启动都需离不开Intent。 Intent通常包含的信息: Categpry:种类、归类。 Action:表明要做什么?通常代表了一个组件具有的能力。 Data/Extras:通信的数据。 Flags:规定了系统如何去启动一个Act...
Android静态安全检测 -> Activity组件暴露
4lwin博客
07-12 1万+
Activity组件暴露 - exported属性 1. android:exported 该属性用来标示,当前Activity是否可以被另一个Application的组件启动 true 表示允许被启动 false 表示不允许被启动,这个Activity只会被当前Application或者拥有同样user ID的Application的组件调用
Android静态安全检测 -> Broadcast Receiver组件暴露
4lwin博客
07-12 6320
Broadcast Receiver组件暴露 - exported属性 1. android:exported 该属性用来标示,当前Broadcast Receiver是否可以从当前应用外部获取Receiver message true 表示可以 false 表示不可以,当前Broadcast Receiver只能收到同一个应用或者拥有同一
安全测试-Drozer安全测试框架实践记录篇
qq_34381178的博客
08-06 4936
二、环境部署一、Drozer简介Drozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。其官方文档说道:“Drozer允许你一一个普通android应用的身份与其他应用和操作系统交互。”在Web世界已经有了许多安全测试工具了,我们只需要给出一个目标,这些工具就会自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同,Drozer是一种交互式的安全测试工具。......
Android应用安全缺陷的静态分析技术研究.pdf
09-21
Android应用安全缺陷的静态分析技术是针对移动应用安全问题的一项重要研究,主要目的是在应用程序未经运行的情况下检测并预防潜在的安全隐患。随着Android操作系统在全球市场的主导地位不断巩固,Android应用的安全...
Android-Androwarn另一个静态代码分析器的恶意Android应用程序
08-12
Androwarn是一款强大的静态分析工具,专门针对Android应用程序(APK文件)进行安全评估。它通过深入解析APK的组件、权限、服务、接收器、意图过滤器等,帮助开发者、安全研究人员以及普通用户识别潜在的恶意行为和...
Android平台组件劫持漏洞的研究.pdf
09-22
本文深入研究了Android平台上由于组件暴露和劫持引发的安全风险,并提出了一种基于静态代码分析安全检测系统Android系统的设计允许应用程序通过组件相互交互,如Activity、Service、BroadcastReceiver和...
Android应用中片段组件的污点分析.pdf
09-21
对于Android应用,这意味着检查数据是否被非法传递给不受信任的组件或网络发送。 本文提出了一种新的静态代码分析方法,该方法通过模拟片段组件的生命周期来执行污点分析。由于片段组件的生命周期包括了添加、替换...
移动安全学习笔记——组件安全组件暴露导致的安全问题(含实验)
0nc3的博客
02-25 1592
0x00 漏洞原理 exported的组件可以被第三方APP调用,在权限控制不当的情况下,可能导致敏感信息泄露、绕过认证、越权行为执行等风险。 0x01 检测方法 1、手动查看 1-反编译apk,查看AndroidManifest.xml。 2-查看组件是否被导出或默认导出。 具有intent-filter标签时,默认为exported=true 不具有intent-filter标签时,默认为exported=false 导出的组件是否有Signature以上级别的权限控制。 2、利用Drozer
Vue 组件三种export暴露方式和import引入方式
weixin_41987908的博客
10-24 7277
export import
Vue单文件组件的创建及三种暴露(分别、统一、默认)方式
路人的博客
08-10 8113
在index.html文件中,在body的闭标签上方引入main.js文件,保证容器先存在。在App组件中引入组件(在脚手架中,import组件时,可以带.vue后缀也可以不带),省去Vue.extend(),使用创建组件的简写形式。直接暴露组件的配置对象。创建Vue实例之后,发现没有Vue实例服务的实例,所以需要创建一个html文件。在main.js上方引入main.js依赖的vue.js文件。加个名字(组件的name属性),名字会在开发者工具种呈现。School.vue和Student.vue组件。..
android 组件暴露风险,Activity组件暴露导致本地拒绝服务
weixin_34245159的博客
05-25 1372
这几天团队打算一起学习Android App漏洞挖掘方面的知识,于是乎拿了一个app当测试例子,争取在上面找到漏洞。在学习过程中发现Android四大组件安全性还是占有较大的比重,另外比较关心的是数据的安全性。数据泄漏、明文存储等和数据相关都是比较重要的。但是今天找到的一个漏洞是关于Activity组件的,本地拒绝服务漏洞。同时学习了drozer的使用方法,利用drozer帮忙找漏洞。下面总结一...
Android:exported 属性知识
热门推荐
阿Gogo
02-24 2万+
1、android:exported 是 Android中的四大组件 Activity,Service,Provider,Receiver 四大组件中都会有的一个属性。 2、android:exported 代表是否能被其他应用隐式调用。 3、true允许被启动,false不允许被启动。 4、android:exported 默认值是由有无intent-filter决定的,如果有intent-filter,默认值为true,否则为false。 5、android:exported = false的情况下,这
Android组件安全之Activity
最新发布
HWHXY的博客
07-03 691
前文系统的总结了组件会有什么安全问题,本文详细的从不同的组件切入,深入的解析组件的实现方式。组件安全
Android原生app安全测试
weixin_42728957的博客
01-02 1000
1、应用权限检测 将apk通过apktool进行反编译,得到androidManifest.xml文件,可查看应用权限信息,如图所示: 应不存在用户不知情或未授权的情况子啊,获取相应信息。 2、代码混淆检测 代码未做混淆,攻击者很容易阅读反编译后的代码,从而增加程序被破解的风险。 使用反编译软件。 测试步骤: <1>使用apktool反编译apk,得到apk布局和资源文件 <2...
Android常见漏洞
Lighthouse
02-14 1199
转载: 360APP漏洞扫描 常见漏洞 漏洞名称: Log敏感信息泄露 漏洞描述: 程序运行期间打印了用户的敏感信息,造成泄露 修改建议: 建议禁止隐私信息的log 漏洞名称: web https校验错误忽略漏洞 漏洞描述: 漏洞可导致中间人攻击 修改建议: 建议不要忽略ssl认证错误 漏洞名称: sql注入漏洞 漏洞描述: 漏洞可能导致用户数据库中的信息泄露或者篡改 修改建议: 建议使用安全sq...
Android组件安全
daide2012的博客
04-05 825
Android组件安全做过Android开发的攻城狮都知道Android四大组件,在开发过程中打交道最多的也是这四大组件,在开发Android应用的过程中我们最基本的要求是要对这四大组件有一个清晰的认识,包括组件的功能特性、生命周期、与系统的交互模型,以及组件之间如何配合使用等等。本文内容主要是关于组件安全模型以及如何正确的使用组件来降低应用的安全风险的一个学习笔记。一、Android四大组件简介
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dmfrm

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值