Android静态安全检测 -> 内网测试信息残留漏洞

最新推荐文章于 2024-07-23 14:37:54 发布
最新推荐文章于 2024-07-23 14:37:54 发布
阅读量1.8k 收藏
点赞数
分类专栏: 【Android静态安全检测】 文章标签: Android安全 测试数据 内网url
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013107656/article/details/53434580
版权

内网测试信息残留漏洞


一、API


【1】残留的测试数据【内网URL地址】


【2】残留的测试数据【测试账号、密码等】


二、触发条件


1. 定位内网url地址的位置


【1】对应到smali语句中的特征

r'const-string.+, "http://10\.[0-9]+'


三、漏洞原理


【1】程序代码内部包含残留测试信息,包括内网url地址、测试账号、密码等,这些信息可能会被盗取并恶意利用


四、修复建议


【1】开发者根据检测结果,去检查相关文件中是否包含更多的测试数据


4lwin
关注
专栏目录
K8s(二):集群部署----->超详细
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
12-12 3万+
🔴 K8s(二):集群部署----->超详细
APP漏洞检测静态动态安全检测APP的常见风险(值得收藏)
哆啦安全
05-19 990
APP漏洞检测静态动态安全检测APP的常见风险
Soot检测Android应用中URL地址
不忘初心的专栏
07-01 1485
Soot简介Soot是一个Java静态分析框架,它提供了四种中间(representation)表现用于分析与转换Java字节码.Soot既可以作为优化和检查class文件的工具也可以作为一个开发与优化Java字节码的框架。使用Soot可以对Android应用进行静态分析,Android静态分析指APK不在运行的情况下,根据某些代码特征来分析应用具有哪些行为。代码实现工程依赖的jar包gradle...
【安卓】常见的安卓中的内存泄漏总结
小马哥93的博客
11-20 814
常见的安卓中的内存泄漏总结 系统内存泄漏也称作“存储渗漏”,用动态存储分配函数动态开辟的空间,在使用完毕后未释放,结果导致一直占据该内存单元。直到程序结束。(其实说白了就是该内存空间使用完毕之后未回收)即所谓内存泄漏。 系统内存泄漏形象的比喻是“操作系统可提供给所有进程的存储空间正在被某个进程榨干”,最终结果是程序运行时间越长,占用存储空间越来越多,最终用尽全部存储空间,整个系统崩溃。所以“内存泄漏”是从操作系统的角度来看的。这里的存储空间并不是指物理内存,而是指虚拟内存大小,这个虚拟内存大小取决于磁
【建议收藏】Android和iOS逆向分析/安全测试/渗透测试工具
最新发布
kk_lzvvkpj的博客
07-23 848
2.Frida-cycript这是Cycript的一个分支,将其运行时替换为由Frida提供支持的名为 Mjølner的全新运行时。1.Cycript允许开发人员通过具有语法突出显示和选项卡补全功能的交互式控制台,使用Objective-C++和JavaScript语法的混合体来探索和修改iOS或Mac OS X上正在运行的应用程序。2.Needle是一个开源的模块化框架,用于简化对iOS应用程序进行安全评估的过程,包括二进制分析、静态代码分析、使用Cycript和Frida挂钩的运行时操作等。
Android保存用户名和密码
dcj3sjt126com的专栏
06-09 541
转自:http://www.2cto.com/kf/201401/272336.html 我们不管在开发一个项目或者使用别人的项目,都有用户登录功能,为了让用户的体验效果更好,我们通常会做一个功能,叫做保存用户,这样做的目地就是为了让用户下一次再使用该程序不会重新输入用户名和密码,这里我使用3种方式来存储用户名和密码 1、通过普通 的txt文本存储 2、通过properties属性文件进...
Android 信息URL地址识别问题
奥特曼
03-13 4705
前言          欢迎大家我分享和推荐好用的代码段~~ 声明          欢迎转载,但请保留文章原始出处:          CSDN:http://www.csdn.net          雨季o莫忧离:http://blog.csdn.net/luckkof 正文   [DESCRIPTION] 在短信中存在URL识别不准确问题,包括大写字母无法识别、与
Android - 判断当前网络环境、隐藏软键盘、动态监测及获取权限、Bitmap与Base64互转、SHA1算法
mythmayor的博客
09-19 416
五、判断当前网络环境 /** * 判断当前网络环境是WiFi还是移动数据 * * @param activity 要调用方法的Activity * @return 网络类型,1为WiFi、2为移动数据、3为其它 */ public static int checkNetType(Activity activity) { //判断是连接的内网还是外网主要用到Connectivity...
Android APP漏洞自动化静态扫描检测工具-Qark环境搭建与使用
daizhongyin的专栏
03-04 4047
QARK 1、qark简介 LinkedIn最近开源了他的静态分析工具QARK,该工具用于分析那些用Java语言开发的Android应用中的潜在安全缺陷。QARK 全称 Quick Android Review Kit。这个工具用来寻找与 Android 应用相关的安全漏洞,包括检查源代码和打包的 APKs。这个工具还可以创建“Proof-of-Concept”可部署的 APKs 或 ADB ...
我的Android进阶之旅------>Android使用9Patch图片作为不失真背景
字节卷动
07-04 8925
做人要大度,海纳百川,做事要圆滑,左右逢源,这让我想到了编程也是如此,代码要扩展,界面也要考虑自适应。 这篇文章是android开发人员的必备知识,是我特别为大家整理和总结的,不求完美,但是有用。 1.背景自适应且不失真问题的存在       制作自适应背景图片是UI开发的一个广泛问题,也是界面设计师渴望解决的问题,我相信我们彼此都深有体会。       比如,列表的背景图一定,但是列
我的Android进阶之旅------>Android疯狂连连看游戏的实现之加载界面图片和实现游戏Activity(四)
字节卷动
11-04 8505
正如在《我的Android进阶之旅------>Android疯狂连连看游戏的实现之状态数据模型(三)》一文中看到的,在AbstractBoard的代码中,当程序需要创建N个Piece对象时,程序会直接调用ImageUtil的getPlayImages()方法去获取图片,该方法会随机从res/drawable目录中取得N张图片。 下面是res/drawable目录视图: 为了让getPla
android测试内外网问题
David-Kuper的专栏
10-16 1823
内网设备使用外网IP是不能访问到服务器的,必须使用本地IP(n内网IP)才能访问。如果你是用你自己的电脑做服务器,用手机链接电脑上面的wifi,那么手机需要指定的是服务器内网的IP才能访问到服务器。
Android 获取本地外网IP、内网IP、计算机名等信息
突破极限,突破局限,黑色之路,默默走完...
05-25 771
、获取本地外网IP   [java] view plaincopyprint? public static String GetNetIp()       {           URL infoUrl = null;           InputStream inStream = null;           try          
Android是否联网判断
B0rn_T0_W1n的博客
12-03 533
android 联网判断
Android检测url地址是否可达
虫逗蚊子的博客
10-13 2432
方法一 public static Boolean checkUrl(String address,int waitMilliSecond) { try{ URL url = new URL(address); HttpURLConnection conn = (HttpURLConnection)url.openConn...
java 扫描 apk 安全性_五大APP安全在线检测平台对比
weixin_39905695的博客
03-07 985
Android APP本文作者:ice@DMZLab最近一直在研究的检测,写了一个系列的文章――手工检测,自动化检测,常见漏洞分析。今天给大家带来的是自动化检测。本篇没有深入的讲解每一个漏洞的详情,仅作测试结果对比和自己的体验心得。0×01 五大在线检测平台 效果对比这里选用墨迹天气app的测试结果百度移动测试中心漏洞名称风险级别说明修复建议详情组件暴露――Activity中危当应用程序的...
Android应用安全解决方案
weixin_30527423的博客
03-08 410
Apk安全解决方案 背景 公司为政府做的App开发完了,需要上一些手段保证安全。这样客户才放心嘛。 防止第三方反编译篡改应用,防止数据隐私泄露,防止二次打包欺骗用户。 目录 Apk安全解决方案 背景 目录 Apk需要加固 代码混淆及日志关闭 Janus签名机制漏洞 应用签名未校验 Webview明文存储密码风险 Webview File同源策略绕过漏洞 应用数据任意备份风险 敏感函数调用风...
Android和iOS逆向分析/安全检测/渗透测试框架
哆啦安全
06-08 1325
一、移动应用安全测试环境 二、移动安全框架 三、安卓应用渗透测试(逆向工程和静态分析) 四、动态和运行时分析 五、网络分析和服务器端测试 六、Android绕过根检测和SSL固定 七、安全库 八、iOS应用渗透测试(访问iDevice上的文件系统) 九、逆向工程和静态分析 十、动态和运行时分析 十一、网络分析和服务器端测试 十二、iOS绕过根检测和SSL固定 十三、安全库......
静态分析技术:精准检测代码质量缺陷与安全漏洞
"该资源为一个关于使用静态分析技术来检测代码质量缺陷和安全漏洞的PPT,重点在于介绍如何通过静态分析技术找到并解决这些问题,以改进软件开发过程。内容涉及静态分析技术的定义、执行方式、采用的技术、优势以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值