【APP测试】APP钓鱼劫持风险--获取最顶端Activity名称

最新推荐文章于 2024-01-30 09:52:48 发布
最新推荐文章于 2024-01-30 09:52:48 发布
阅读量423 收藏 1
点赞数
分类专栏: APP 测试 文章标签: APP安全 安卓 钓鱼劫持 Activity 移动安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43486390/article/details/101126314
版权

注意:安卓5以下版本适用

0x01 首先关闭多余应用,只开启需要测试的APP,打开登录界面,adb shell连接后输入:dumpsys activity top获取Activity名称
在这里插入图片描述0x02 将获取到的最顶端Activity名称输入测试工具中确定并启动
在这里插入图片描述
在这里插入图片描述
0x03 再打开需测试的APP,如果弹出悬浮框,则表明其存在钓鱼劫持风险。
在这里插入图片描述
修复建议: 当APP主activity界面被透明activity覆盖时,弹出安全提示,提示用户注意用户及密码安全。

ps_x
关注
专栏目录
[车联网安全自学篇] ATTACK安全之Android Activity劫持检测与防护
橙留香Park的博客
06-01 2533
Android 界面劫持是指在Android系统中,恶意软件通过监控目标软件的运行,当检测到当前运行界面为某个被监控应用的特定界面时(一般为登录或支付界面),弹出伪造的钓鱼页面,从而诱导用户输入信息,最终窃取用户的隐私(恶意盗取用户账号、卡号、密码等信息),或者利用假冒界面进行钓鱼欺诈目前,还没有什么专门针对Activity劫持的防护方法,因为,这种攻击是用户层面上的,目前还无法从代码层面上根除。
Android应用安全测试用例
武天旭的博客
12-09 1185
前言 自从写了移动安全专栏,经常有小伙伴问有没有APP安全测试用例(俗称checklist),这个当然是有的啦!只是博主觉得测试用例这个东西,属于最基本的常识,就不在这里写了。另外,如果真的从内向外懂移动安全技术的话,测试用例这东西也就是一个自然而然的东西。
APP劫持检测
07-06
HijackActivity.apk能用于检测APP是否可被劫持。再凑点字数
android如何避免钓鱼页面,Android应用钓鱼劫持风险的检测与防范
weixin_42190623的博客
05-29 333
Android应用钓鱼劫持风险的检测与防范Detection and Prevention of the Phishing Risk of Android ApplicationDOI:10.12677/CSA.2015.511053,PDF, 下载:2,316浏览:5,367国家自然科学基金支持作者:黄振鹏*, 牛少彰, 张文*:北京邮电大学,北京摘要:Android是当前最流行的移动设备...
activity界面劫持--qq钓鱼应用分析
02-04 1208
"在其位谋其政 任其职尽其责",既然进入了安全领域就应该做出一点相关的成果出来,否则就是名不符实,而我今天总算做出了一点真正和安全相关的东西了,记录于此。 我的项目组做的是一个叫安全容器的东西,大致上就是在系统中虚拟出另外一个操作环境与普通环境隔离开来,这个环境可以进行一些安全度高的操作,比如支付,并且保证不被普通环境影响。主要是针对政府企业单位的产品,最大的亮点当然就是这个隔离性了。
app安全测试要点
luaijai的博客
01-07 479
1.1、关于反编译 目的是为了保护公司的知识产权和安全方面的考虑等,一些程序开发人员会在源码中硬编码一些敏感信息,如密码。而且若程序内部一些设计欠佳的逻辑,也可能隐含漏洞,一旦源码泄漏,安全隐患巨大。 1.2、关于签名 这点IOS可以不用考虑,因为APP stroe都会校验。但Android没有此类权威检查,我们要在发布前校验一下签名使用的key是否正确 1.3、完整性校验 为确保安装包...
渗透测试App安全测试详解
最新发布
qq_43775006的博客
01-30 3248
对于App安全渗透测试来说可将其检测方向分为七大模块,分别是客户端程序安全、敏感信息安全、密码安全安全策略、进程保护、通信安全和业务安全
任意版本界面劫持
JiaoMaGe的博客
11-12 1605
任意版本界面劫持 界面劫持攻击分为界面劫持钓鱼攻击两部分。恶意程序会对目标应用的客户端进行监控,当应用客户端程序调用Acitivity组件显示 窗口,且该窗口界面组件是恶意程序预设的攻击对象,恶意程序就会立即启动自己的仿冒界面使之替换或覆盖在客户端程序界面之上,这就是界面劫持。恶意攻击者在发动界面劫持后,用户所面对并操作的其实已经是被替换后的仿冒页面,这意味着用户在毫无察觉的情况下将自己的账号、...
信息安全_移动APP安全与SDL.pptx
08-14
- Activity:越权访问、钓鱼攻击、敏感信息泄露、拒绝服务。 - Service:权限提升、劫持、消息伪造、拒绝服务。 - Broadcast Receiver:敏感信息泄露、权限绕过、拒绝服务。 - Content Provider:信息泄露、SQL...
Hook APP 记录(一)
Mr_ChenXu的博客
02-20 1061
Hook APP 记录(一) 前提了解刷机(线刷、卡刷),第三方Rom包,了解Hook的大致意思,了解Xposed、Magisk面具、墙 我也是刚入手hook这方面,作为学习记录,这方面资料少和大家一起共享学习。 文章目录Hook APP 记录(一)前言一、编写一个简单的目标app二、编写Xposed模块,用来hook目标APP1.引入依赖2.AndroidManifest.xml3、编写hook类4、 配置xposed_init文件三、使用运行测试总结 前言 准备工作: 1、测试机:我的测试机是红
app安全:如何应对界面劫持
听风-Android进阶
03-03 2万+
app安全:如何应对界面劫持 app安全如何应对界面劫持 界面劫持的原理 解决办法 具体实施 在Activity的各生命周期中启动或者停止服务在onResume中开启service在onStart和onDestory中关闭service 编写具体的Service逻辑 在onStart中执行timer 具体效果如图 补充内容写这篇文章是因为,公司的项目对安全性要求较高一些,所以每年都会不定时把app
App客户端劫持及简单防护
云守护的专栏
07-02 4934
转自:http://blog.nsfocus.net/app-client-hijacking-simple-protection/Android APP客户端安全评估中,有一项叫做activity界面劫持。该bug的攻击场景是,当手机中的恶意APP检测到当前运行的为目标APP时,就启动自身的钓鱼界面覆盖到目标APP之上,以欺骗用户输入账号密码等。本文将要归纳Android各个版本可以使用的检测当...
Android 获取栈最顶层ActivityApplication Context解决方案
VickyWinner的博客
11-17 2万+
前言:和有梦想的人一起奋斗,那也就不会觉得孤独了。 以前开发都是在别人搭完框架的情况下进行开发,今天遇到一个很头疼的问题,想要在做一个很常见的功能,当接收到极光推送的消息,就在当前页面显示一个dialog通知用户账号在别处已经登录,需要重新登录。这个问题真的是难倒我了,因为极光推送过来的时候,我们并不知道用户操作到了哪一个Activity,而Dialog初始化的时候需要一个Activit
获取顶端的Top Activity和类名
u012254541的博客
05-26 9095
1.我找了很多方法,以下是    《1》5.0之后 获取top activity  很多方法停用,用是可以用,但是有些条件下 获取是异常的,比如我这个是断网情况下,获取是异常的,我之前用的 是public String getTopActivityPackageName(Context context) { String topActivityPackage = null; Act...
Android获取当前活动(最顶层)的activity
JasonBlog
09-18 1万+
android
Android 如何获取顶端的Top Activity
热门推荐
我的专栏
07-09 3万+
Android 如何获取顶端的Top Activity, 见如下代码: public static class TopActivityInfo { public String packageName = ""; public String topActivityName = ""; } private TopActivityInfo get
安卓获取当前最顶部Task应用名称
FinyGao
07-11 3334
//获取到进程管理器 activityManager = (ActivityManager) getSystemService(ACTIVITY_SERVICE); //获取到当前正在运行的任务栈 List tasks = activityManager.getRunningTasks(1);//参数是想获得的个数,可以随意写 //获取到最上面的进程 Run
Android之Activity界面劫持劫持
LVXIANGAN的专栏
02-09 2万+
总结: Activity劫持原理1、注册一个receiver,响应android.intent.action.BOOT_COMPLETED,使得开机启动一个service;这个service,会启动一个计时器,不停循环查询所有当前运行的进程(因为app可以枚举系统当前运行进程而无需声明其他权限) 2、一旦发现当前某一进程的Activity正是我们想要劫持的,并运行在前台,我们立马使用FLAG_A...
安卓测试中,如何知道当前的activity的名字?
darmao的博客
02-15 1382
最简单的方法是使用adb去看,但是这个每次切换一次,就得手动一次,于是做了个自动的简单工具 原理:工具后台运行一个服务,不停的去查看当前acivity栈栈顶的activity,并将其使用logcat打印出来。 服务部分代码: import android.app.Service; import android.content.Context; import android.content.I
微软App-V 5.0 SP3安装与测试指南
"该文档是关于App-v安装与测试的详细步骤,主要涉及Microsoft Application Virtualization 5.0 SP3的环境配置、组件安装、测试流程以及相关工具和策略的设置。" Microsoft Application Virtualization (APP-V) 是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值