180120 逆向-AndroidApp常见漏洞和挖掘技巧

最新推荐文章于 2024-05-19 20:14:05 发布
最新推荐文章于 2024-05-19 20:14:05 发布
阅读量8.1k 收藏 13
点赞数 1
分类专栏: 杂七杂八 Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/79116894
版权

1625-5 王子昂 总结《2018年1月20日》 【连续第477天总结】
A. Android App常见漏洞和挖掘技巧
B.

基本知识

Android架构

  • Kernel内核层
    漏洞危害极大,通用性强
    驱动由于多而杂,也可能存在不少漏洞
  • Libaries系统运行库层
    • 系统中间件形式提供的运行库
      包括libc、WebKit、SQLite等等
    • AndroidRunTime
      Dalvik虚拟机和内核库

  • FrameWork应用框架层
    提供一系列的服务和API的接口

    • 活动管理器
    • 内容提供器
    • 视图
    • 资源管理器
    • 通知管理器

  • Application应用层

    • 系统应用
      主屏幕Home、联系人Contact、电话Phone、浏览器Browser
    • 其他应用
      开发者使用应用程序框架层的API实现的程序

Andoroid常用组件

  • Acitivity活动
  • Service服务
  • BroadcastRecviver广播接收器
  • ContentProvider内容提供器

Android App常见漏洞     (OWASP Mobile Top 10)

平台使用不当

  • 概述
    平台功能的滥用,或未能使用平台的安全控制。如Intent误用、权限误用等

最低0.47元/天 解锁文章
奈沙夜影
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android 安全测试 APK逆向分析工具 集合 3inOne
03-09
本集合“3inOne”提供了三款强大的APK逆向分析工具,包括ApkAnalyser、APKMessenger和onekey-decompile-apk,它们在Android应用的安全审计、漏洞检测以及代码理解等方面具有显著作用。 首先,ApkAnalyser是一款功能...
web漏洞挖掘快速入门1
08-08
3. 通过 zmpap 全网爆破查询真实 ip(可靠) 4. 子域名爆破,现在越来越不靠谱了 5. 通过扫描出网站测试文件如 phpinfo,test 等配置文
中间件漏洞详解
10-26
本课程分别从iis5.x/6、iis7、apache三个中间件漏洞进行分析,首先从原理上介绍形成该漏洞的原因,而后通过实战的形式演示怎么利用这三种漏洞对服务器进行攻击。
Android逆向 AppHook入门
最新发布
Ben_boba的博客
05-19 405
android:exported 属性详解
热门推荐
ZhangGeng's Blog
06-11 18万+
为什么会把这个属性单独拿出来学习呢?是因为我在用360漏洞扫描应用时,扫描结果,出来一个android:exported属性,其实之前根本不知道这个属性,更不知道这个属性用来干嘛的,详情见下图: 因此,我决定查了官方API,学习了一下这个属性!android:exported 是Android中的四大组件 Activity,Service,Provider,Receiver 四大组件中都会有的
在渗透测试中快速检测常见中间件、组件的高危漏洞
公众号:乌云安全
06-08 1044
渗透测试,漏洞发掘,安全工具,中间件漏洞常见漏洞快速检测,目前包含以下漏洞的检测。
如何入门漏洞挖掘,以及提高自己的挖掘能力
键盘的起始页
04-09 1261
0x01:前言 大家好我是米斯特团队的一员,我的id香瓜,我们团队在这次i春秋第二次漏洞挖掘大赛中,包揽了前五名,我key表哥一不小心拿了一个第一,导致很多人来加他好友问他,如何修炼漏洞挖掘能力,我今天帮大家解答一下这个疑问,哈哈哈。 漏洞挖掘是安全圈的一个核心之一,但是随着各大厂商安全意识的增强,以及各类waf的出现。一些像sql注入,文件上传,命令执行这些漏洞也不是那...
APK逆向工具, Android逆向助手
06-10
这通常用于安全审计、漏洞挖掘、学习研究或者软件调试。本文将详细介绍APK逆向工具及其在Android逆向助手中的应用。 首先,APK文件是Android应用程序的打包格式,包含了应用的二进制字节码(Dalvik或ART)、资源...
安卓app逆向工程
11-21
这对于开发者来说,既是学习借鉴他人代码的手段,也是安全分析、漏洞挖掘以及调试应用的重要技术。在本资料中,包含了一个名为“安卓逆向助手1”的工具,这可能是一个集成的反编译工具,帮助用户更容易地进行逆向...
AndroidKiller_v1.3.1.7z
10-12
AndroidKiller是一款专门针对Android应用程序的逆向分析工具,它能够帮助开发者和安全研究人员深入理解APK文件的内部结构,从而进行代码审计、漏洞挖掘、功能分析等一系列工作。逆向工程是软件安全研究中的重要环节...
信息泄露漏洞挖掘技巧20200429.docx
04-29
总计信息泄露漏洞挖掘、利用、修补方式,主要包括.svn源代码泄露.git源代码泄露、httpsys漏洞检测以及利用方式,常见中间件的后台登录页面以及默认用户名密码。用于挖掘常见信息泄露漏洞,仅供学习使用
从零开始学习软件漏洞挖掘系列教程
04-13
从零开始学习软件漏洞挖掘系列教程
PHP漏洞挖掘
10-21
20条途径挖掘PHP漏洞,请各位看看。大概有用吧
f.zip Fdex2安卓脱壳,支持安卓4.4和安卓7以上
09-11
8. **逆向工程**:脱壳是逆向工程的一部分,逆向工程常用于漏洞挖掘、性能优化、软件调试等领域。 9. **动态分析与静态分析**:脱壳后的应用可以进行静态分析(无需运行应用),也可以进行动态分析(在真实或模拟...
黑客教你如何Web漏洞快速挖掘思路以及实操
yz_weixiao的博客
04-27 1567
我这里还有渗透测试\web安全/攻防/src漏洞讲解/只要是关于网络安全的部分,应该都有!还有两三千本电子书籍!以及自己整理出的一套学习路线!告别低效率的学习!1.1爱站工具网和站长网都可以查询到域名的相关信息如域名服务商,域名拥有者,以及邮箱电话,地址等信息)网站的关于页面/网站地图(可查询到企业的相关信息介绍,如域名备案信息查询:域传输漏洞:dig baidu.com。利用以上收集到的邮箱、QQ、电话号码、姓名、以及域名服务商可以用来社工客户或者渗透域服务商,拿下域管理控制台,然后做域劫持;
kali渗透学习-web渗透手动漏洞挖掘(三)
weixin_43239236的博客
01-23 405
登陆后利用阶段 1.进行手动爬网,自动扫描,进一步的探测 a.过滤,只显示有参数的请求 b.使用Repeater测试 逐步删除无用变量,试出可影响页面内容的变量 对符号型输入,先进行编码 没对输入变量进行过滤 例如dvwa中的Command Execution ping测试命令进行测试,是否有漏洞 low级别: 未进行任何过滤,可以用 ;、|、&、&& 查看源码,查找原因,直接应用体检的变量没有过滤 medium级别: 设置了黑名单,可以使用 |、&绕过 high级别
细说漏洞挖掘
qq_53058639的博客
03-14 1073
说到安全就不能不说漏洞,而说到漏洞就不可避免地会说到三座大山:漏洞分析漏洞利用漏洞挖掘从笔者个人的感觉上来看,这三者尽管通常水乳交融、相互依赖,但难度是不尽相同的。本文就这三者分别谈谈自己的经验和想法。
WEB漏洞挖掘技术
龙哥盟
02-19 4万+
前言漏洞挖掘技术一直是网络攻击者最感兴趣的问题,漏洞挖掘的范围也在随着技术的提升而有所变化.在前期针对缓冲区溢出 格式化字符串 堆溢出 lib库溢出等技术都是针对ELF文件(Linux可执行文件)或者PE文件(Win可执行文件)的漏洞挖掘技术.在针对ELF文件 PE文件(.exe与.dll)的漏洞挖掘过程中,出现了很多的漏洞挖掘技术,但是针对PE文件 ELF文件的漏洞挖掘始终停留在了黑盒测试(包括单

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值