共享文件夹 测试权限_Android APP 简单的安全测试流程

最新推荐文章于 2024-05-09 09:37:28 发布
最新推荐文章于 2024-05-09 09:37:28 发布
阅读量354 收藏
点赞数
文章标签: 共享文件夹 测试权限

fe68a326528867b224b9ad3120d2b4cc.png

抓 包

1、修改网络

c1ee903c68e9b79022103666b0526b8b.png

与本机IP一致,打开 BurpSutie

选择:Proxy-Optinos-Proxy Lisiteners

2c10944ef51745130cffb75c9b8d4e29.png

2、导入证书

打开手机浏览器输入:https://burp

d64505b695f74c94d9a2e237f882ecfa.png

点击右上角的:CA Certificate 下载完后,把证书的格式改成 Cer

导入证书

8196e59b9f4707754122189c7af64f7b.png

cb37abd3d782567e495c29ed0514cd40.png

导入就完事了。

3、抓包测试

711d7a1ebe600970a8baf08c87e29222.png

好的,没有问题嘿嘿嘿~

0a053c5cee43d53d4491cea9b1dd21fe.png

常规APP安全测试方式

工具以及环境:

SDK:Java JDK

工具:7-zip、dex2jar、jd-gui、apktool、IDA Pro、IDEA/Eclipse、010 editor、SQLite、ApkIDEA、BurpSutie/Fiddler.....

1、客户端程序简单的安全测试

1.1数字签名检测

C:ProgramFilesJavajdk1.8.0_144bin>jarsigner.exe-verify APK 文件地址

结果为“jar“表示签名没问题

5c30e7790163c26ed10038c636c62c81.png

1.2反编译检测

选择APK-右键-打开压缩包

26f11709b6d7db20d5f8349cb6f5f2a1.png

ad1a46f872e9ef193400857e87e509a9.png

下面就不多说了,大家懂得都懂,直接上dex2jar都是老套路了嗷。

999bb47ff77b36720269b30ec93a2927.png

用jd-gui打开(我用虚拟机操作的,可能有点不太清楚)

e47faab8cc72f762663501e7f7a41619.png

还有一种方式比较快捷,

使用Android Killer工具,不过这个工具可能有点老,大家可以自行选择

直接把apk文件拖进去即可,内置dex2jar和jd-gui工具

f97eac8e4db5798df7e19f708e7c2fdd.png

1.3目录结构

我个人比较习惯先看一下xml文件,里面是获取那些权限之类的。

612b7ad3745d5dea8a5869e2d12db34b.png

文件夹 作用

asset文件夹 资源目录1:asset和res都是资源目录但有所区别,见下面说明

lib文件夹 so库存放位置,一般由NDK编译得到,常见于使用游戏引擎或JNI native调用的工程中

META-INF文件夹 存放工程一些属性文件,例如Manifest.MF

res文件夹 资源目录2:asset和res都是资源目录但有所区别,见下面说明

AndroidManifest.xml Android工程的基础配置属性文件

classes.dex Java代码编译得到的DalvikVM能直接执行的文件,下面有介绍

resources.arsc 对res目录下的资源的一个索引文件,保存了原工程中strings.xml等文件内容

1.4组件安全测试

1.4组件安全测试

使用APKTool或者dex2jar解包,打开目录中的AndroidManifest.xml

声明:android:exported="true" 可导出

4634faf16494b835a13a6050719f0ea2.png

声明:android:exported="false" 不可导出

aabb12a81cdd5f6a89d7c3fdf2b4406a.png

未显示声明:android:exported:

组件不是:Content Provider:

1.5 app四大组件介绍

1、Activity


(1) 一个Activity通常就是一个单独窗口

(2) Activity之间通过lntent进行通信

(3) Android应用中每一恶搞Activity都必须要在androidmanifest.xml配置文件声明,否则系统将不识别也不执行该Activity

2、service

(1)service用于在后台完成用户指定的操作,service有两种

(2)started(启动):当应用程序组件 调用startService()方法启动服务时,服务器处于started状态

(3)bound(绑定):当应用程序组件 调用bindService()方法绑定到服务时,服务处于bound状态

3、content provider

(1)ContentProvider(数据提供者)是在应用程序间共享数据的一种接口机制 ContentProvider提供. 了更为高级的数据共享方法

4、broadcast receiver

BroadCastReceiver(广播接收者)作为四大组件,起到了在各组件中或不同进程中传递消息的功能,

在Android中的广播主要由三部分组成:广播发送者,广播(需要传递的消息),广播接收者三部分组成。

1.6应用权限测试

  • 用反编译工具
  • 打开源码后,检查 AndoridManifest.xml文化将应用权限和业务功能需要权限做对比,检查申请应用权限是否大于业务需要权限,有即存在安全隐患。
    或者python manitree.py -f AndroidManifest.xml

manitree项目地址:https://github.com/antitree/manitree

对于APP安全测试我了解的也不是很多,近期也会在app安全上多花点时间去研究它,给大家带来更好更优质的文章。

weixin_39747341
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python解析AndroidManifest.xml文件
猪头三
01-11 4178
本文讲的是如何使用 python的 xml.etree.ElementTree 库解析并修改AndroidManifest.xml文件
共享文件夹 测试权限_DS620slim全方位测试2:创建你的第一个共享文件夹
weixin_39924779的博客
12-09 534
测试背景大家好,本文属于作者Lifeisgood《从零开始装群晖》系列原创。我们将以群晖科技最新发布的DS620slim作为测试平台,把张大妈家NAS爱好者和群晖粉丝提出的各种问题,用各种测试方案进行验证和试验。上图是部分测试设想,各位亲们如果有更好的建议、待解的问题,欢迎在评论中提出,我尽量添加到测试方案中。https://post.smzdm.com/p/awxqm45m/在上文中,我们先用1...
android运行时权限检测,Android造轮子之6.0运行时权限检查
weixin_39837867的博客
05-28 147
PermissionsChecker一个帮助你完成 Android M 运行时权限检查的库第一次造轮子,有人说程序员之所以造轮子,是因为某个问题戳到了他的痛点欢迎大家来使用和测试,有不足的地方还希望大家可以提出来,我都会虚心改进轮子大家测!只需几行代码完成 Android M 运行时权限检查,欢迎提 issue 和我交流ScreenshotPermissionsCheckerPermissions...
探索代码安全新境界:Raptor - 源码漏洞扫描器
最新发布
gitblog_00087的博客
05-09 729
探索代码安全新境界:Raptor - 源码漏洞扫描器 项目地址:https://gitcode.com/dpnishant/raptor 项目介绍 Raptor 是一款基于Web的GitHub中心化源码漏洞扫描工具,只需要提供GitHub仓库URL就能进行扫描。它支持设置 webhook 实现每次提交或合并Pull Request时自动扫描,所有扫描工作均在后台异步进行,结果仅对发起扫描的用户可见...
共享文件服务器 挂载测试,干货 | 玩转云文件存储——利用CFS实现web应用的共享访问...
weixin_28963467的博客
08-06 340
京东云文件服务(Cloud File Service,如下简称:CFS)是一种高可靠、可扩展、可共享访问的全托管分布式文件系统。它可在不中断应用服务的状况下,根据您对文件系统的使用,按需扩展或缩减,并按照实际用量计费。采用NFS协议,支持POSIX文件接口,可为Linux系统下的云主机提供共享访问服务。html演示示意图:前端 1、建立云主机打开京东云控制台,依次点击左侧导航弹性计算-云主机,在...
计算机用户文件夹授权,设置网络共享文件夹图文教程,添加新用户修改共享文件夹用户权限...
weixin_39554891的博客
06-28 673
大家好,我是老盖,感谢观看本篇文章,本文做的也有视频,也可以看我发布的视频。今天给大家讲一下共享文件夹共享文件夹添加新用户和修改用户共享权限。对着桌面计算机点右键点管理。依次点击本地用户和组,用户,我们添加一个新用户。新用户名字用abcd测试,添加密码和下方选项选择一下。c盘有一个123文件夹,我们用它作为测试,对着它点右键点共享,点特定用户。在文件共享中,添加abcd这个用户,然后权限级别可以...
jsb.rar_JAVA记事本 app_java app _java记事本app_安卓_安卓app
09-21
【标题】"jsb.rar" 是一个包含了JAVA记事本应用程序的压缩文件,专为学习Android平台上的app开发设计,特别是对于那些初次接触Java和Android应用编程的学习者。这个项目可能是一个简单的记事本应用实现,它利用了...
安卓期末大作业Android寻味之旅App源码.zip
04-24
【Android寻味之旅App源码】是一个针对K12阶段的安卓应用开发项目,它代表了学生在安卓编程学习过程中的一个重要的成果展示。通过这个App,我们可以深入了解Android应用程序的基本结构、组件以及交互机制。 首先,...
AnderWeb-android_packages_apps_Launcher-4458ee4.zip
04-08
而"AnderWeb-android_packages_apps_Launcher-4458ee4"可能是源代码文件夹,包含Android项目的源码,如Activity、Service、BroadcastReceiver、ContentProvider等组件,以及布局文件(XML)、资源文件(如图片、字符...
Android不需要文件存储权限将文件保存至手机
04-25
在Android系统中,传统的文件存储方式通常需要应用获取相应的文件读写权限,以便在外部存储(如SD卡)上保存和访问数据。然而,随着Android系统的更新,特别是自Android 6.0(Marshmallow)引入运行时权限管理以来,...
Android oschina-android-app(开源中国).zip
10-08
【标题】:“Android oschina-android-app(开源中国).zip” 这个标题暗示了这是一个与Android操作系统相关的项目,更具体地,是开源中国的Android应用程序。开源中国是一个致力于推广开源技术和软件的平台,它...
Android安全[测试环境&vuln-demo&pwn]
0x00的博客
08-26 1138
System : ubuntu 14.04 LTS python3.0--scikit-learn安装: # lapack是跟线性代数有关的工具包,安装相关库  sudo apt-get -y install python3-dev python3 python3-pip liblapack-dev libblas-dev python3-scipy python3-numpy python...
导入maven项目时报错org.apache.maven.archiver.MavenArchiver.getManifest
Tree_on_horizon的博客
03-03 3726
错误: 在Eclipse中导入Maven项目时,pom.xml第一行报错org.apache.maven.archiver.MavenArchiver.getManifest(org.apache.maven.project.MavenProject, org.apache.maven.archiver.MavenArchiveConfiguration) 网上找到的解决方法: 解决方法一:Ins...
Python ElementTree操作AndroidManifest.xml的若干个关键点
逍遥阁
05-14 1179
1、在调用ElementTree.parse之前一定要想调用以下代码: uri = "http://schemas.android.com/apk/res/android" ElementTree.register_namespace("android", uri) 要是没有调用上述代码注册namespace,在调用 tree.write将xml写回去时候,android:会被替换为...
用Python解析AndroidManifest.xml文件找MainActivity
编程小栈
10-17 5382
写在前面的话这个是一篇水博客,因为我知道只要是个大二的小朋友就可以搞定,我大二就一天在搞这些事情,今天纯属吃饱了撑着,想敲键盘,等实验结果然后随便写写。我知道大家都会的,不会的小朋友随便看看然后自己回去搞定吧 ^_^1.基本概念什么是MainActivity,就是一个Android的APP 如果它有Activity的话,那么最开始启动的那个Activity就是MainActivity。每一个组件,包
Python——使用ElementTree解析AndroidManifest.xml文件
wuqiongrj的博客
07-25 2201
XML内容如下: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 xml version="1.0" encoding="utf-8" standalone="no"?> manifest xmlns:android="http://schema
【代码片段收集】Python解析AndroidManifest.xml
编程小栈
11-18 2043
写在前面的话这个好像只适合我自己看,感觉有的代码片段复用率很高,总是反复需要用到。所以就整理一下,方便自己查找。# find the MainActivity and let the MainActivity become the first element in the list for activity in activityList: if activity.toxml().find("
共享文件的实时同步
wdirdo的博客
10-21 1190
数据的实时同步 数据实时同步 实现实时同步 要利用监控服务(inotify),监控同步数据服务器目录中信息的变化 发现目录中数据产生变化,就利用rsync服务推送到备份服务器上 实现实时同步的方法 inotify+rsync 方式实现数据同步 sersync :在inotify软件基础上进行开发的,功能更加强大 inotify: 异步的文件系统事件监控机制,利用事件驱动机制,...
移动互联网App测试流程与关键测试点详解
"移动互联网App测试作业流程测试点个人整理版" 移动互联网App测试是一项复杂而关键的任务,旨在确保产品的稳定性和用户体验。这个文档详细梳理了从测试基础步骤到具体测试点的整个流程。 首先,APP测试的基础...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值