自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

4lwin博客

/* WHAT ARE YOU WAITING FOR */

  • 博客(12)
  • 收藏
  • 关注

原创 移动安全测试框架MobSF(一):静态分析

MobSF框架之静态分析一、简介【1】MobSF(Mobile-Security-Framework,移动安全测试框架)是一款智能化、自动化的开源移动应用(Android/iOS/Windows)测试框架,可以对应用进行静态分析和动态分析(动态分析目前暂时只支持Android)【2】支持对APK文件、IPA文件以及源码压缩包进行审计分析,可以对Android和i

2016-12-28 15:11:49 4450

原创 Android动态分析工具Droidbox

Droidbox工具一、安装(依赖和准备工作)【1】Linux或Mac OS系统【2】Python【3】Android SDK:创建一个Android虚拟机(AVD)【4】依赖库:pylab,matplotlib【5】DroidBox.tar.gz:https://github.com/pjlantz/droidbox/rel

2016-12-27 18:34:27 3192

原创 Android安全测试框架drozer

drozer功能简介一、drozer工具drozer是一款针对Android系统的安全测试框架,可以分成两个部分:其一是“console”,它运行在本地计算机上;其二是“server”,它是一个安装在目标Android设备上的app,当使用console与Android设备交互时,就是把Java代码输入到运行在实际设备上的drozer代理(agent)中【1】更

2016-12-20 15:54:02 2311

原创 Android动态分析工具Inspeckage

Inspeckage工具【1】Inspeckage是一个简单的应用程序(apk),对动态分析很多常用的功能进行了汇总,并且内建了一个HTTP服务器来提供友好的网页界面【2】

2016-12-13 18:03:17 7094

转载 移动APP自动化漏洞检测平台架构

https://security.tencent.com/index.php/blog/msg/109

2016-12-12 10:07:50 1527

原创 Android静态安全检测 -> 重打包防护检测

重打包防护检测一、API【1】APK签名校验:PackageManager.getPackageInfo( )【2】dex文件校验:对比classes.dex文件的哈希值【3】参考链接http://www.droidsec.cn/android应用安全开发之源码安全/二、触发条件

2016-12-08 11:24:22 2844

原创 Android静态安全检测 -> 密钥硬编码

密钥硬编码 - SecretKeySpec类一、API1. 继承关系【1】java.lang.Object【2】javax.crypto.spec.SecretKeySpec2. 主要方法【1】SecretKeySpec(byte[ ] key, String algorithm)【2】参考链接ht

2016-12-07 15:02:13 4807

原创 Android静态安全检测 -> 强制类型转换本地拒绝服务漏洞

强制类型转换本地拒绝服务漏洞 -Intent.getXXXExtra()一、API1. 继承关系【1】java.lang.Object【2】android.content.Intent2. 主要方法【1】getSerializableExtra(String name)  返回Serializable【2】getStr

2016-12-06 16:13:05 1562

原创 Android静态安全检测 -> 系统组件本地拒绝服务检测

系统组件本地拒绝服务检测 - Intent.getXXX()一、API1. 继承关系【1】java.lang.Object【2】android.content.Intent2. 主要方法【1】getAction()  返回String【2】getSerializableExtra(String name)  返回S

2016-12-06 15:15:02 1757

原创 Android静态安全检测 -> 内网测试信息残留漏洞

内网测试信息残留漏洞一、API【1】残留的测试数据【内网URL地址】【2】残留的测试数据【测试账号、密码等】二、触发条件1. 定位内网url地址的位置【1】对应到smali语句中的特征r'const-string.+, "http://10\.[0-9]+'三、漏洞原理【1】程序代码内部包含

2016-12-02 15:00:01 1799

原创 Android静态安全检测 -> 敏感函数调用风险

敏感函数调用风险一、API【1】android.telephony.TelephonyManager.getNetworkOperator( )   获取运营商信息【2】android.telephony.TelephonyManager.getDeviceId( )   获取设备信息【3】android.telephony.TelephonyMan

2016-12-02 14:36:51 5369 3

原创 Android静态安全检测 -> 系统Root检测

系统Root检测 - /system/bin/su & /system/xbin/su一、API【1】破解手机ROOT权限的原理,就是在手机的/system/bin和/system/xbin目录下放置一个可执行文件“su”【2】判断手机是否具有Root权限的代码示例【3】参考链接http://blog.csdn.net/u010355144/article/details/49723777...

2016-12-02 11:12:15 2856

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除