Android静态安全检查(十四):开放服务检测

最新推荐文章于 2022-10-12 14:55:56 发布
最新推荐文章于 2022-10-12 14:55:56 发布
阅读量651 收藏 1
点赞数
分类专栏: 移动安全 移动安全 文章标签: Android SocketServer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010889616/article/details/80992543
版权

为什么应用开放服务不安全

开启服务即创建监听端口的SocketServer,通过SocketServer开启服务,可以接受客户端的请求操作,通常使用NanoHTTPD库来创建Socket服务端。

如果一个应用创建了ServerSocket,开启了服务监听,如果服务端对连接的客户端验证不严格的话,恶意应用就可以连接服务,使用服务端的功能,可能导致应用隐私数据泄露或其他的严重问题。

检测方法

检测应用代码中是否有ServerSocket的accept()方法,如果有,则认为开启了不安全的服务。

修复建议

请勿在应用中开启监听服务,如果实在需要开启服务,一定要有完善的机制来验证连接的客户端。


dmfrm
关注
专栏目录
Android安全检测服务云平台的构建.pdf
09-21
Android安全检测服务云平台构建】是针对移动互联网中Android应用程序的安全性进行高效检测的一种解决方案。随着Android设备的广泛使用,应用市场的繁荣也带来了安全问题的挑战。文章着重讨论了如何利用开源技术...
安全测试常用几个工具(开源&商业)调研
分享只为更好的获得
08-01 7345
下面介绍了这些工具的主要功能以及教程、书籍、视频等。 端口扫描器:Nmap Nmap是”Network Mapper”的缩写,众所周知,它是一款非常受欢迎的免费开源黑客工具。Nmap被用于发现网络和安全审计。据数据统计,全世界成千上万的系统管理员使用nmap发现网络、检查开放端口、管理服务升级...
浅谈Android开放网络端口的安全风险
最新发布
键盘的起始页
10-12 2492
Android应用通常使用等不同domain的来进行本地IPC或者远程网络通信,这些暴露的socket代表了潜在的本地或远程攻击面,历史上也出现过不少利用socket进行拒绝服务、root提权或者远程命令执行的案例。特别是PF_INET。
android_server端口检测
本人随手记录,内容只是个人看懂程度,对内容有任何疑问请勿打扰
08-21 878
运行android_server 打开一个新的cmd。在根目录下输入命令cat /proc/net/tcp 从中可以找到 5D8A 端口号,转换10进制为23946。 面对apk存在端口检测
Android静态安全检查(一):组件暴露
不忘初心的专栏
07-07 3823
简介
Android静态安全检测
u010457514的博客
08-13 2719
1.allowBackup标志位 问题描述: AndroidManifest.xml文件中allowBackup属性值被设置为true时(默认为true),用户可通过adb backup对应用数据备份,导出应用中存储的数据,造成用户数据的泄露。 修复建议 将android:allowBackup标志位设置为false。 2.debuggable标志位 问题描述: AndroidManif...
Android静态安全检查(六):Service劫持
不忘初心的专栏
07-08 1504
什么是Service劫持Android应用中,Service是一个重要的组件,用于执行比较耗时的后台任务,启动一个Service常用的方法是ComponentName startService(Intent service),传入的参数是Intent,Intent使用有两种情况一个是设置action,接收到action的Service,然后启动。一个是明确指定要启动的Service和包名当应用陈故...
一种Android平台恶意软件静态检测方法.pdf
09-21
Android 平台恶意软件静态检测方法】 在Android平台中,由于其开放性和广泛的用户基础,恶意软件的存在已经成为一个严重的问题。为了有效地检测并防止这些恶意软件对用户造成危害,研究者提出了一种基于危险权限...
基于静态数据流分析的android应用权限检测方法
08-24
总结来说,基于静态数据流分析的Android应用权限检测方法是一种有效的安全策略,能够帮助开发者和用户更好地理解和控制应用的权限使用,提高系统的安全性。随着Android平台的持续发展,这种检测技术将变得越来越重要...
Android应用安全缺陷的静态分析技术研究.pdf
09-21
Android应用安全缺陷的静态分析技术是针对移动应用安全问题的一项重要研究,主要目的是在应用程序未经运行的情况下检测并预防潜在的安全隐患。随着Android操作系统在全球市场的主导地位不断巩固,Android应用的安全...
Android静态漏洞安全检测
阳光灿烂的日子的博客
11-10 915
Android静态漏洞安全检测 https://blog.csdn.net/u013107656/article/category/6257625 Android 安全测试思路总结(攻击面) https://blog.csdn.net/u010651541/article/details/53142252 ...
Android静态安全检查(十三):剪切板使用检测
不忘初心的专栏
07-10 3633
Android剪切板使用风险Android剪切板是可以暂存数据,剪切板在后台起作用,存放在内存中。如果把隐私数据,特别是密码,存放在剪切板中是不安全的,因为任何的应用程序都可以访问剪切板中的数据。如果一个恶意应用,注册了系统剪切板的监听器事件,当剪切板数据发生变化的时候,就能获取到剪切板的数据,通过下面的代码就可以注册监听器。 final ClipboardManager clipb...
【转载】Android app 安全测试调研及执行
monkey_怡宝的博客
04-02 417
本文来源于:http://testerhome.com/topics/2209 一、通过在线工具进行测试 1.腾讯金刚审计系统http://service.security.tencent.com 优点:包含了修复建议 2.阿里聚安全检测 网址:http://jaq.alibaba.com/阿里聚安全下有自己的安全博客,包含一些:1.安全漏洞、2.病毒分析、3.技术研究、4...
Android静态安全检测 -> Content Provider组件本地SQL注入漏洞
4lwin博客
11-25 5981
Content Provider组件本地SQL注入漏洞 - ContentProvider.query方法 一、API 1. 继承关系 【1】java.lang.Object 【2】android.content.ContentProvider 2. 主要方法 【1】query(Uri uri, String[ ] projection, St
Android研发安全3-Service安全
Android研发专栏
10-30 7555
Android系统开发中,Service是一个重要的组成部分。如果现在某些程序中的某部分操作是很耗时的,那么可以将这些程序定义在Service中,这样就可以在后台运行,也可以在不显示界面的形式下运行,即,Service实际上就是相当于一个没有图形界面的Activity程序,而且当用户执行某些操作需要进行跨进程访问的时候也可以使用Service来完成。Service的分类本地服务(Local)
Soot获取Android应用控制流图
不忘初心的专栏
07-01 4340
Soot简介Soot是一个Java静态分析框架,它提供了四种中间(representation)表现用于分析与转换Java字节码.Soot既可以作为优化和检查class文件的工具也可以作为一个开发与优化Java字节码的框架。使用Soot可以对Android应用进行静态分析,Android静态分析指APK不在运行的情况下,根据某些代码特征来分析应用具有哪些行为。Soot的升级版FlowDroid可以...
Android服务与广播组件:静态注册BroadcastReceiver解析
本资源主要介绍了Android中的服务组件Service和广播组件BroadcastReceiver的使用,特别是静态注册BroadcastReceiver的方式。在AndroidManifest.xml中进行静态注册,使得BroadcastReceiver能在系统启动时自动接收特定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dmfrm

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值