Android静态安全检测 -> SharedPreferences任意读写

最新推荐文章于 2024-05-11 05:49:32 发布
最新推荐文章于 2024-05-11 05:49:32 发布
阅读量2.5k 收藏
点赞数
分类专栏: 【Android静态安全检测】 文章标签: Android安全 getSharedPreferences 文件读写模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013107656/article/details/51589875
版权

SharedPreferences任意读写 - getSharedPreferences方法

一、API


1. getSharedPreferences(String name , int mode)

示例:getSharedPreferences("config" , Context.MODE_PRIVATE)


2. 第一参数:指定Preference文件的名称,使用xml文件存放数据,名称不用带后缀,文件保存在/data/data/<package name>/shared_prefs/config.xml


3. 第二参数:指定操作模式


【1】Context.MODE_PRIVATE = 0 (0x0000)

  默认操作模式,代表该文件是私有数据,只能被应用本身访问,同时写入的内容会覆盖原文件的内容


【2】Context.APPEND = 32768 (0x8000)

  同样代表文件是私有数据,写入的方式是追加内容


【3】Context.MODE_WORLD_READABLE = 1 (0x0001)

  表示当前文件可以被其他应用读取


【4】Context.MODE_WORLD_WRITEABLE = 2 (0x0002)

  表示当前文件可以被其他应用写入


【5】Context.MODE_WORLD_READABLE + Context.MODE_WORLD_WRITEABLE = 3 (0x0003)

  表示文件可被其他应用读和写


4. 参考链接:


http://justsee.iteye.com/blog/930643


http://www.cnblogs.com/renqingping/archive/2012/10/19/SharedPreferences.html

二、触发条件


1. getSharedPreferences("config" , Context.MODE_WORLD_READABLE)


2. getSharedPreferences("config" , Context.MODE_WORLD_WRITEABLE)


3. getSharedPreferences("config" , Context.MODE_WORLD_READABLE + Context.MODE_WORLD_WRITEABLE)


4. 对应到smali中的特征

【1】;->getSharedPreferences(Ljava/lang/String;I)Landroid/content/SharedPreferences;


【2】判断对寄存器的赋值:const v1 0x1 / const v1 0x2 / const v1 0x3

三、漏洞原理


【1】Shared Preferences文件没有使用正确的创建模式,导致可被其他应用访问,并执行读写操作,可能会导致敏感信息的泄漏


【2】详细的原理&POC ,参考链接:

https://jaq.alibaba.com/community/art/show?spm=a313e.7975615.40002100.5.3SDXcw&articleid=56

四、修复建议


【1】避免使用MODE_WORLD_READABLE和MODE_WORLD_WRITEABLE模式创建Shared Preferences文件


【2】避免把密码等敏感数据信息明文存放在Shared Preferences文件中


4lwin
关注
专栏目录
Android数据存储--SharedPreferences存储
05-28
SharedPreferencesAndroid提供的一种轻量级的数据存储方式,主要用于存储少量简单的键值对数据,如配置设置、用户偏好等。在本篇博文中,我们将深入探讨如何使用SharedPreferences进行数据存储,并通过源码分析其...
读、写其他应用程序的SharedPreferences
孤云博客
07-02 6110
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666) 要读、写其他应用的SharedPreferences,需要该SharedPreferences的应用程序指定相应的访问权限,例如:MODE_WORLD_READABLE,表明该SharedPreferences可被...
JNI 实现 SharedPreferences 读写
描绘自己的王国……
03-14 1470
JNI 实现 SharedPreferences 读写 关于 SharedPreferences 的介绍,可以看以下文章。 【AndroidSharedPreferences 存储 JNI 想要实现 SharedPreferences读写访问,需要调用对应的 Android 接口。 获取 SharedPreferences 对象 【 Android 】实现 private static fi...
android p开机检查data,Android 查看/data/data文件夹并取回文件
weixin_42312227的博客
06-03 1077
前言在开发Android过程中,经常需要从设备中取回文件,而Android为了安全考虑,其中的/data/data路径下的文件通常是不可见的。本文将介绍如何修改该文件夹的权限并取回数据,以及其中可能遇到的问题。第一步:确保手机已经Root这一步非常关键,也没有什么技术含量,现成的Root工具很多,直接拿来用就好了(什么,你要自己写?大牛慢走,不送)。这里要注意,选用Root工具的时候一定要谨慎,尽...
Android-第十三节02SharedPreferences详解
最新发布
2401_84862333的博客
05-11 1465
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此我收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
Android SharedPreferences 使用方法详解
jerechen的博客
11-05 4549
目录 1. SharedPreferences 定义介绍 2. SharedPreferences.Editor 方法介绍 2.1 apply() 2.2 commit() 2.3 clear() 2.4 remove() 2.5 apply() 与 commit() 的区别 3. SharedPreferences 例子Demo 3.1 getPreferences() 例子...
Android---SharedPreferences 记住用户名和密码
03-08
SharedPreferencesAndroid提供的一个轻量级存储类,经常用于保存软件设置参数。存放的格式为xml,文件存放在 /data/data/<package name>/shared_prefs下。
Android存储---SharedPreferences的介绍与使用demo
09-05
Android应用开发中,数据储存是一个非常重要...总结,SharedPreferencesAndroid中一种简单、快速、安全的数据存储方式,适用于保存应用配置、用户设置等轻量级数据。开发者应根据实际需求选择合适的数据存储方案。
android开发基础教程—SharedPreferences读写
09-05
Android开发中,SharedPreferences是一个轻量级的数据存储方式,用于保存应用中的小量、简单的数据,如用户设置、状态信息等。它以键值对的形式存储数据,支持字符串(String)、整型(int)、布尔型(boolean)、浮点型...
Android-Android系统SharedPreferences进行的封装
08-13
Android开发中,SharedPreferences是系统提供的一种轻量级的数据存储方式,主要用于保存应用程序中的简单配置数据,如布尔值、整型、浮点型、字符串等。由于它的操作简便且易于理解,因此在需要持久化小量数据时...
android.content.SharedPreferences
10-05 359
http://blog.sina.com.cn/s/blog_4abb70a20100po2w.html 很多时候我们开发的软件需要向用户提供软件参数设置功能,例如我们常用的QQ,用户可以设置是否允许陌生人添加自己为好友。对于软件配置参数的保存,如果是window软件通常我们会采用ini文件进行保存,如果是j2se应用,我们会采用properties属性文件进行保存。如果是...
Android-SharedPreferences 使用详解
weixin_33690963的博客
08-23 170
Android-SharedPreferences 使用详解 参考 developer.android.google.cn/reference/a… Overview SharedPreferences是个好东西,我们可以用它来存储一些个性化的设置信息或者是一些简单的数据,SharedPreferences是基于XML文件的。如果有大量的数据要存储的话它是不合适的(这时候可以考虑使用Sqlite数...
android sharedpreferences简单使用,Android: SharedPreferences的简单使用(数据可持久化)
weixin_32721919的博客
05-30 375
1. SharedPreferences介绍:SharedPreferences 的作用是使用键值对的方式存储数据,且支持多种不同的数据类型存储。是Android数据持久化方法中最简单的一种。这种方式主要用来存储比较简单的一些数据,而且是标准的Boolean、Int、Float、Long、String等类型。android.content.SharedPreferences是一个接口,用来获取和...
Android文件读写 SharedPreferences
qq_42015021的博客
08-09 60
SharedPreferences读写操作是线程安全的。
框架运行错误:Ljava/lang/String;Ljava/lang/String;
HONEY MOOSE
07-28 6643
错误栈信息如下:[code]java.lang.NoSuchMethodError: org.apache.commons.lang.StringUtils.defaultString(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String; org.apache.struts2.json.SerializationParams.(Seri...
Android SharedPreferences getStringSet方法使用注意点
u012514113的专栏
03-08 4821
项目场景: 在用SharedPreferences存储数据时,由于要存储多个值,API中有个putStringSet(Stringkey,Set<String> values) 方法好像满足这个要求,然后用此方法实现需求,在getStringSet(String key)时发现取值和存值顺序不一致的现象 问题描述: 项目中,String key = "com.android.baidu" 然后通过包名来存储如下值: .........
AndroidSharedPreferences 的简单用法试例
热门推荐
weixin_41454168的博客
03-22 2万+
SharedPreferences 是一个轻量级的存储类,主要是保存一些小的数据,一些状态信息实现:1、确定要保存的是什么数据后,写个 SharedPreferences  存储类2、获取到数据后,调用 SharedPreferences  存储类将数据保存3、调用 SharedPreferences  存储类将数据取出,并展示出来效果:获取数据保存获取数据展示实现详情:1、确定要保存的是什么数据...
android sharedpreferences 线程,Android SharedPreferences总结及优化
weixin_42165973的博客
05-29 621
一、SharedPreferences简介Android 中的 SharedPreferences(后续简称SP)是轻量级的数据存储方式,能够保存简单的数据类型,比如 String、int、boolean 值等。应用场合主要是数据比较少的配置信息。其内部是以 XML 结构保存在 /data/data/包名/shared_prefs 文件夹下,数据以键值对的形式保存。使用Preference来存取数...
Android SharedPreferences 数据存储教程
"在Android应用开发中,SharedPreferences是常用的数据存储机制,尤其适用于保存应用程序的配置参数。通过这个轻量级的存储类,开发者能够方便地进行数据的读写操作,且这些数据会以XML格式存储在设备的特定目录下。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值