Android配置错误

最新推荐文章于 2023-03-04 10:34:39 发布
最新推荐文章于 2023-03-04 10:34:39 发布
阅读量301 收藏
点赞数
文章标签: 移动开发 java
原文链接:https://juejin.im/post/5afcec596fb9a07aa5428189
版权

1. 程序可被任意调试

原因:Manifest.xml中的android:debuggable=true,调试开关被打开。

修复:把true改成false。

并不是说false就不可以在不重打包的情况下被调试了,仍然可以通过定制boot.img 修改 prop里的ro.secure和ro.debuggable(https://bbs.pediy.com/thread-197334.htm),或者使用Xposed的HOOK插件xinstaller开启系统中所有应用的调试功能

题外话,xinstaler是如何开启系统所有应用的调试功能的呢?查看源码看看吧。

从上看出,是hook了android.os.Process.start,根据Process.java源码public static final ProcessStartResult start(final String processClass, final String niceName, int uid, int gid, int[] gids, int debugFlags, int mountExternal, int targetSdkVersion, String seInfo, String abi, String instructionSet, String appDataDir, String[] zygoteArgs)可见xinstall的开启应用调试实际上是在进程启动的时候修改了debugFlags这个值

查考:http://gityuan.com/2016/03/26/app-process-create/

2. WebView开启debug模式(与Manifest无关)

原因:开启了webview的远程chrome调试模式WebView.setWebContentsDebuggingEnabled(true);

修复:删除该行代码。

关于如何用chrome进行webview的远程调试,请看: https://developer.chrome.com/devtools/docs/remote-debugging

如果我们调试需要开启webContentsDebuggingEnabled,Xposed能强制做到这一点。

//勾住webview所有构造器
XposedBridge.hookAllConstructors(WebView.class, new XC_MethodHook() { 

    @Override protected void beforeHookedMethod(MethodHookParam param) throws Throwable { 

        // 打开webContentsDebuggingEnabled 

        XposedHelpers.callStaticMethod(WebView.class, "setWebContentsDebuggingEnabled", true); 

    } 
}

复制代码

参考:https://www.jianshu.com/p/d6699cd4505e

3. 组件暴露(Activity、Service、ContentProvider、BroadcastReceiver)

原因:组件的属性exported被设置为true或是未设置exported值但IntentFilter不为空时,activity被认为是导出的,可通过设置相应的Intent唤起activity。

修复:如果组件不需要与其他App共享数据或交互,请将AndroidManifest.xml中设置该组件为exported="False"。如果组件需要与其他App共享数据或交互,请对组件进行权限控制和参数校验。使用android:protectionLevel="signature"验证调用来源。

4. intent scheme URLs攻击

原因: 在AndroidManifast.xml设置Scheme协议之后,可以通过浏览器打开对应的Activity。

修复:App对外部调用过程和传输数据进行安全检查或检验,配置category filter, 添加android.intent.category.BROWSABLE方式规避风险

参考:https://www.mbsd.jp/Whitepaper/IntentScheme.pdf

5. Webview启用访问文件数据

原因:Webview中使用setAllowFileAccess(true),App可通过webview访问私有目录下的文件数据

修复: 明确的用WebView.getSettings().setAllowFileAccess(false)来禁止访问私有文件数据

6. https安全(略)

7. 开放Socket端口

原因:app绑定端口监听,建立连接后可接收外部发送的数据

修复:如无必要,只绑定本地ip127.0.0.1,并对接收的数据进行过滤验证

8. SD卡数据被第三方访问

原因:调用getExternalStorageDirectory,存储内容到SD卡可以被任意程序访问

修复:敏感信息存储到程序私有目录,并加密

9. 全局File可读写漏洞

原因:openFileOutput(String name,int mode)方法创建内部文件时,将文件设置了全局的可读权限MODE_WORLD_READABLE、MODE_WORLD_WRITEABLE

修复:缺人是否存在敏感数据,去掉文件全局可读写属性

10. 私有文件泄露

原因:使用getSharedPreferences打开文件时第二个参数设置为MODE_WORLD_READABLE、MODE_WORLD_WRITEABLE

修复:设置为MODE_PRIVATE

weixin_34283445
关注
uni-app官方demo(Android sdk):未配置appkey或配置错误。(uni原生插件开发,Android插件开发)
qq_37980878的博客
01-20 1万+
uni-app官方demo(Android sdk):未配置appkey或配置错误。(uni原生插件开发,Android插件开发)
android配置错误
tulun的专栏
10-24 727
<br />我在进行android配置时,出现下面这个错误:<br /><br /> <br />解决办法:<br />1, 复制 tools目录 为一个新的目录 tools-copy ,此时在android-sdk-windows 目录下有两个目录 tools 和 tools-copy<br />2, 在tools-copy目录运行 android.bat ,这样就可以正常 update all 了<br />3,之后,关闭 sdk, <br />4, 在 android-sdk-windows 目录运
android配置出错怎么办
cdkd123的专栏
11-01 756
新建、导入工程这么多次,遇到问题也不少,具体经验总结如下: 1.导入工程名称为路径怎么办? 各种百度,google都没弄好,最后一气之下新建了个工程,copy,paste。但有好多错误。 注意paste只粘贴需要的文件,Mainifest.xml文件、res、src目录替换粘进去。但还会有新建时多余的目录。在Package Explorer中删除这些不需要的文件和目录。 一般出错是因为Ma
Android开发环境设置配置的常见错误
qq_41961113的博客
11-27 185
今天在配置android开发环境时, 1.一切都按操作,结果却打不开新建的android虚拟机。 问题解决后留此 情景1: Could not open 错误原因是,在安装Android开发工具包时,AVD的路径设置与Android默认路径不同.(查看虚拟机中的AVD路径(Window -> Andeoid Virtual Device Manager首行显示的工作路径)...
Android 客户端常见漏洞
ting
02-28 1072
一、危险权限 二、组件漏洞 1.拒绝服务 涉及的API:android.content.Intent.get[a-zA-Z]*Extra 原理:本地组件启动时没有对Intent.getXXXExtra()获取或处理的数据进行异常捕获,从而导致攻击者可通过向受害者应用发送空数据、异常或者畸形数据来使该应用crash的目的。 防护:对接收到的任何数据做try catch处理,对于不符合预期的...
四大组件之Activity
f123210f的博客
10-14 330
转载请注明出处Android中我们常见的组件Activity敢说第二,估计没有人敢说第一了。他也是用户最主要的感知来源。下面我们来详细的解剖一下Activity。一、Activity是什么Activity的翻译是活动,它被定义为与用户交互直接的组件,我们打开一个软件看到的,以及点击到的,都是在Activity上。一个应用可以有多个Activity。二、Activity的生命周期首先大家来看一张生命周
配置Android SDK
08-26
配置环境变量非常重要,如果不配置,将出现以下错误: Stopping ADB server failed (code -1)。这将导致无法使用 Android SDK,同时也会影响开发过程。 检测是否安装成功 可以使用以下步骤检测是否安装成功: 1. ...
Android DaggerActivityComponent错误解决办法详解
08-30
Android DaggerActivityComponent 错误解决办法详解 Android DaggerActivityComponent 错误解决办法详解是指在使用 dagger2 框架时,出现的 DaggerActivityComponent 错误的解决方法。这种错误通常发生在修改某个类...
Delphi10 Android开发环境配置.docx
02-26
Delphi 10 Android 开发环境配置 Delphi 10 Android 开发环境配置是指在 Delphi 10 环境下进行 Android 应用程序开发所需要的配置步骤。以下是 Delphi 10 Android 开发环境配置的详细介绍: 一、配置环境变量 在 ...
四大组件之一Activity
ht1063899049的博客
12-17 371
Activity的创建 Activity 是Android 四大组件之一,用于展示界面。Activity 中所有操作都与用户密切相关, 是一个负责与用户交互的组件,它上面可以显示一些控件也可以监听并处理用户的事件。 一个Activity 通常就是一个单独的屏幕,Activity 之间通过Intent 进行通信。 对界面应用程序的开发 1,清单文件中配置 2,在代码里面实现oncr
四大组件-Activity
悟心的专栏
06-01 6248
一.生命周期
Android原生app安全测试
weixin_42728957的博客
01-02 1019
1、应用权限检测 将apk通过apktool进行反编译,得到androidManifest.xml文件,可查看应用权限信息,如图所示: 应不存在用户不知情或未授权的情况子啊,获取相应信息。 2、代码混淆检测 代码未做混淆,攻击者很容易阅读反编译后的代码,从而增加程序被破解的风险。 使用反编译软件。 测试步骤: &amp;lt;1&amp;gt;使用apktool反编译apk,得到apk布局和资源文件 &amp;lt;2...
安卓-AndroidManifest.xml修复
最新发布
bring_coco的博客
03-04 4142
可以看到不显示头部错误了,显示读取到2924字节,但是预期是65376字节,读了格式的话发现没有65376,那就是app中写成这样的。可以看到报错了,显示不能解析此xml文件,原因是预期是0x001c0001,得到的是0x01001c00,可以看到是头部出错误了。因为scStyleCount是0,所以没有偏移,scStylePoolOffset也应该是0,所以我们将它改为0。文件更改时间是我们最新的,说明成功修改保存,我们将改好的xml文件拖到解压包中替换。然后我们将修改头部修改为0x01001c00。
Android中Debuggable设置问题
热门推荐
王丽君同学的专栏
12-29 3万+
Android中的AndroidManifest.xml文件中可以设置很多属性,其中有一项是debuggable属性,意为“可调试”,有true和false两种模式。 默认情况下我们都是需要设置的,如果打包的是debug版本的apk文件,那么这个debuggable属性就自动设置为true,反之,如果打包的是release版本的apk文件,那么这个debuggable属性就自动设置为false
Android:android.intent.category 定义
雁峰
08-17 2474
定义的种类与版本相关,这里列出 android 4.1的定义 : F:\Android\sdk\platforms\android-16\data\categories.txt [html] view plaincopyprint? android.intent.category.ALTERNATIVE #  android.intent.category.APP_B
Android九大漏洞,附解决建议
liuye066的专栏
06-08 5615
第一大类:Android Manifest配置相关的风险或漏洞       程序可被任意调试       风险详情:安卓应用apk配置文件Android Manifest.xml中android:debuggable=true,调试开关被打开。       危害情况:app可以被调试。       修复建议:把Android Manifest.xml配置文件中调试开关属性关掉,即设置android...
Android常见九大漏洞,附解决建议
键盘的起始页
06-27 1816
​​​Android应用会遇到各种各样的漏洞,如何从细节上了解各种安全隐患,积极采取适当的防御措施便变得尤为重要。为了让大家对Android漏洞有一个非常全面的认识,网易云易盾资深安全工程师徐从祥为大家详细解读常见九大的Android漏洞,供各位学习参考。(如果下面干货内容没有让各位尽兴,欢迎来官网申请相关产品试用,面对面交流,保证解决你的安全难题。)​ 第一大类:AndroidManifest配置相关的风险或漏洞程序可被任意调试风险详情:安卓应用apk配置文件Android Manifest.xml中an
详述Android开发环境配置步骤
"Android开发环境配置" 在Android应用开发过程中,首先需要配置合适的开发环境,确保所有必要的工具都已安装并正确设置。以下是配置Android开发环境的详细步骤: 1. **安装JDK**: Java Development Kit (JDK) 是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值