java 扫描 apk 安全性_五大APP安全在线检测平台对比

最新推荐文章于 2024-05-08 18:46:11 发布
最新推荐文章于 2024-05-08 18:46:11 发布
阅读量968 收藏
点赞数
文章标签: java 扫描 apk 安全性
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39905695/article/details/115077994
版权

Android APP本文作者:ice@DMZLab

最近一直在研究的检测,写了一个系列的文章――手工检测,自动化检测,常见漏洞分析。今天给大家带来的是自动化检测。本篇没有深入的讲解每一个漏洞的详情,仅作测试结果对比和自己的体验心得。

0×01 五大在线检测平台

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

效果对比

这里选用墨迹天气app的测试结果

百度移动测试中心

漏洞名称

风险级别

说明

修复建议

详情

组件暴露――Activity

中危

当应用程序的组件被导出后,导出的组件可以被第三方app任意调用,从而导致敏感信息泄露,而且恶意攻击者也可以通过精心构造数据来达到攻击目标应用的的目的。

如果组件不需要与其他应用共享数据或进行交互,则在AndroidManifest.xml文件中设置该组件为 exported = “false”,反之,则需要对导出的组件进行权限控制并且严格校验传入的参数。

com.moji.mjweather.activity.main.MainActivity com.moji.mjweather.CSplashScreen com.moji.mjweather.activity.share.ManualShareActivity com.moji.mjweather.activity.skinshop.SkinSelectorActivity com.kepler.jd.login.AuthSuccessActivity com.moji.mjweather.activity.liveview.MessageDetailActivity com.moji.mjweather.activity.liveview.OwnerMessageCenterActivity com.moji.mjweather.activity.account.SnsLoginActivity com.moji.mjweather.activity.liveview.HomePageActivity com.moji.mjweather.activity.voiceclock.AlarmAlertActivity com.moji.mjweather.activity.voiceclock.AlarmAlertFullScreenActivity com.moji.mjweather.activity.share.SharePlatformDialog com.tencent.tauth.AuthActivity com.moji.mjweather.activity.liveview.LauncherCameraActivity com.moji.mjweather.activity.bindapp.InstallAppActivity com.moji.mjweather.activity.settings.WidgetConfigureActivity com.igexin.sdk.GActivity com.moji.mjweather.wxapi.WXPayEntryActivity com.moji.mjweather.wxapi.WXEntryActivity com.moji.mjweather.activity.forum.TopicActivity com.moji.mjweather.x5webview.BrowserActivity 共:21个。

组件暴露――Service

中危

当应用程序的组件被导出后,导出的组件可以被第三方app任意调用,从而导致敏感信息泄露,而且恶意攻击者也可以通过精心构造数据来达到攻击目标应用的的目的。

如果组件不需要与其他应用共享数据或进行交互,则在AndroidManifest.xml文件中设置该组件为 exported = “false”,反之,则需要对导出的组件进行权限控制并且严格校验传入的参数。

com.moji.mjweather.service.ScreenService com.igexin.sdk.PushService com.igexin.sdk.PushServiceUser com.moji.mjweather.authaccount.AuthenticationService com.moji.mjweather.authaccount.SyncService 共:5个。

组件暴露――BroadcastReceiver

中危

当应用程序的组件被导出后,导出的组件可以被第三方app任意调用,从而导致敏感信息泄露,而且恶意攻击者也可以通过精心构造数据来达到攻击目标应用的的目的。

如果组件不需要与其他应用共享数据或进行交互,则在AndroidManifest.xml文件中设置该组件为 exported = “false”,反之,则需要对导出的组件进行权限控制并且严格校验传入的参数。

com.moji.mjweather.receiver.PackageReceiver com.moji.mjweather.receiver.MojiReceiver com.moji.mjweather.CMojiWidget4x1 com.moji.mjweather.CMojiWidget4x2 com.moji.mjweather.CMojiWidget5x1 com.moji.mjweather.CMojiWidget5x2 com.igexin.sdk.PushReceiver com.igexin.download.DownloadReceiver com.baidu.bottom.service.BottomReceiver com.zk.drivermonitor.reciever.SystemStartReceiver 共:10个。

应用数据任意备份风险

中危

当AndroidManifest.xml配置文件中没有有设置allowBackup标志(默认为true)或将allowBackup标志设置为true时,应用程序的数据可以被任意备份和恢复,恶意攻击者可以通过adb工具备份复制应用程序的数据。

在AndroidManifest.xml文件中设置application的属性 android:allowBackup=”false”

权限滥用风险

中危

自定义权限的保护级别过低,导致任意应用程序都可以使用此权限,无法起到保护作用。

如非必要,自定义权限的保护级别至少要设置为:signature。

漏洞名称

风险级别

说明

修复建议

详情

WebView组件系统隐藏接口未移除漏洞

高危

使用Android WebView组件时,没有移除其中内置的searchBoxJavaBridge_,accessibility和accessibilityTraversal等导出接口, 可能导致远程代码任意执行

使用Android WebView组件时,通过调用removeJavascriptInterface方法移除searchBoxJavaBridge_, accessibility和accessibilityTraversal等导出接口,防止被恶意利用

源文件: 类:com.baidu.mobad.feeds.remote.BaiduActivity 方法࿱

最低0.47元/天 解锁文章
weixin_39905695
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AppSecurityDetection:安卓Apk安装包在线安全检测系统
05-18
AppSecurityDetection 安卓Apk安装包在线安全检测系统
sixty_nine_app_20230925_gjcp.apk
10-05
sixty_nine_app_20230925_gjcp.apk
免费好用的APP安全在线检测平台
一杯咖啡的渗透记忆
03-28 1万+
免费好用的APP安全在线检测平台
最佳的10款App安全测试工具
Python_0011的博客
04-06 1433
Veracode 的 MAST(移动应用程序安全测试)服务可以确定移动 App 中的安全问题,并立即采取行动解决问题。它能提供诸如移动 app 安全测试、web app 安全测试和基于计算机的培训解决方案等服务。对 App 开发者或开发团队而言,需要最好的移动 App 安全测试工具来确保 app 安全。它提供领先的技术覆盖范围,可对移动 App 进行360°的安全性测试。QARK 由领英开发,它是一款静态代码分析工具,可提供有关 Android App 安全威胁的信息,并给出简洁明了的问题描述。
三个常用的apk分析网站对比:VirusTotal、哈勃、摸瓜_apk在线分析(2)
最新发布
2401_84281698的博客
05-08 1046
(1)VirusTotal分析截图(2)腾讯哈勃分析截图(3)摸瓜分析截图。
APP安全在线检测--持续更新
热门推荐
煜铭2011
04-01 1万+
0x00前言 伴随着移动互联网的高速发展,移动应用APP安全问题也走进了人们的视角,在企业安全建设过中,往往需要对企业移动应用APP进行一个安全风险评估,从而了解总体的安全情况,以下我们将简要介绍以下的几个APP安全在线检测平台 0x01 在线检测平台 爱家密 http://www.ijiami.cn/apply/Detect 免费 注册登录 无限制 ...
安卓开发安全问题
01234567890
10-31 785
1. 组件暴露——Activity,Service,BroadcastReceiver说明: 当应用程序的组件被导出后,导出的组件可以被第三方app任意调用,从而导致敏感信息泄露,而且恶意攻击者也可以通过精心构造数据来达到攻击目标应用的的目的。 修复:如果组件不需要与其他应用共享数据或进行交互,则在AndroidManifest.xml文件中设置该组件为 exported = “false”
免费的APP安全在线检测平台
繁星流动天际
04-25 3106
1、爱加密 提供APP免费加密、免费检测服务,可在线查看检测详情,下载安全检测报告。 https://www.ijiami.cn/index 2、梆梆安全 开发者服务平台提供免费检测和加固,并且提供的桌面级(PC端)APP加固辅助工具。 https://dev.bangcle.com/ 3、娜迦信息 提供安全检测APP加固,可在线查看检测报告。 http://www.nag...
0_st_EasyAutoClicker.apk_skyzhibo_st.apk_自动按键app_android_
09-30
标题 "0_st_EasyAutoClicker.apk_skyzhibo_st.apk_自动按键app_android_" 提供的信息表明这是一个针对Android系统的应用,名为EasyAutoClicker,它可能是一个自动按键工具或者模拟点击的应用。自动按键app通常用于...
sixty_nine_app_20230623_cj3d.apk
06-23
sixty_nine_app_20230623_cj3d.apk
apk.rar_.apk_android_android apk_apk
09-14
此外,Google Play Store和其他应用商店通常会有安全扫描机制,以检测潜在的恶意软件或违反政策的行为。 总之,Android APK文件是Android平台上的软件分发和安装标准,理解其工作原理和结构对于开发者和用户来说都...
xlav_app_20231025_jbun.apk.1
12-29
xlav_app_20231025_jbun.apk.1
APP第三方安全检测
weixin_43886221的博客
10-18 632
app免费安全检测
安全(2) - 本地数据
lmcs87的专栏
11-27 237
一、Shared Preferences Shared Preferences存储安全风险源于以下两方面: 1.不要使用MODE_WORLD_WRITEABLE和MODE_WORLD_READABLE模式创建进程间通信的文件,此处即为Shared Preferences; 2.尽量避免将密码等敏感数据明文存储在Shared Preferences中(Root后存在信息泄露的隐患)。 3.尽...
Android应用安全检测项目
苛学加记事
07-08 6701
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用中是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开
android之File,Saving State,Preferences(二)
weixin_34291004的博客
02-10 110
2019独角兽企业重金招聘Python工程师标准>>> ...
关于apk安全检测的第三方在线网站
kururunga的博客
02-26 5764
如题,公司的apk给其他公司做安全检测,一般需要1-2天,如果不通过又要继续改,然后又是1-2天,那么问题来了,如果多测几次岂不是太浪费时间?这里推荐一个免费的安全检测网站: https://service.security.tencent.com/kingkong 准确性很高,很方面,10分钟就能检测出。 ...
Android安全检测 - WebView系统隐藏接口漏洞
qq_35993502的博客
09-24 1765
这一章我们来学习“Webview系统隐藏接口漏洞”,了解这个漏洞发生的原因及其应对的方法。 一、漏洞原理 CVE-2014-1939: 在java/android/webkit/BrowserFrame.java文件中,通过API addJavaScriptInterface()添加了一个SearchBoxImpl类的对象searchBoxJavaBridge_,所以攻击者可通过searchBoxJavaBridge_对象进行反射攻击,通过访问searchBoxJavaBridge_接口利用该漏洞执行任意J
推荐几个在线扫描apk安全漏洞的工具
05-18
以下是一些在线扫描apk安全漏洞的工具: 1. AndroBugs:一个基于Python的工具,用于自动化扫描Android应用程序中的漏洞。 2. Appknox:一个基于云的应用程序安全平台,提供应用程序漏洞扫描、漏洞修复和报告生成等功能。 3. QARK:一个基于Python的工具,用于自动化扫描Android应用程序中的漏洞。 4. MobSF:一个基于云的移动应用程序安全框架,支持Android和iOS应用程序的漏洞扫描和静态分析。 5. APKScan:一个在线APK文件扫描器,用于检测应用程序中的恶意代码和安全漏洞。 6. Mobile Security Framework:一个基于Python的框架,用于自动化扫描Android和iOS应用程序中的漏洞和恶意代码。 这些工具都可以帮助开发人员和安全专家在应用程序开发的不同阶段中识别和纠正安全漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值