![](https://img-blog.csdnimg.cn/16d3f8d8eb6741aa8e7d6646f7e54567.jpeg?x-oss-process=image/resize,m_fixed,h_224,w_224)
Android_JAVA层_安全
文章平均质量分 68
JAVA层或表层的一些相对容易理解的安全问题,和解决思路。
_HWHXY
Sec For All All For Sec
展开
-
【Android】Mobile-Security-Framework-MobSF Manifest 静态扫描规则
移动安全框架(MobSF)是一个自动化的一体化移动应用程序(Android/iOS/Windows)测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。MobSF支持移动应用程序二进制文件(APK、XAPK、IPA和APPX)以及压缩源代码,并提供REST API,可与您的CI/CD或DevSecOps管道无缝集成。动态分析器可帮助您执行运行时安全评估和交互式仪器测试。通过分析源码中对manifest的检测规则,来学习其可能存在的安全风险。原创 2023-08-20 20:55:58 · 575 阅读 · 0 评论 -
【Android】组件安全之Activity
前文系统的总结了组件会有什么安全问题,本文详细的从不同的组件切入,深入的解析组件的实现方式。组件安全。原创 2023-07-03 20:54:13 · 664 阅读 · 0 评论 -
【Android】跨端(JSBridge)安全小计
在挖移动端的时候,通常会关注跨端方向的问题,因为我们能直接从webview容器去访问native的代码,从客户端角度,从前端能直接深入到客户端,所以跨端这块比较有研究意义。本文详细介绍android前端到客户端跨端通信的基础知识以及相关漏洞挖掘思路。原创 2023-06-28 00:46:07 · 1347 阅读 · 0 评论 -
【Android】Frida Java Hook + unzip 操作Hook
Frida Hook比较多的点无疑是Java层函数Hook和Native函数Hook。前序文章讲文件读写确实就是Native层函数Hook。故本文详细介绍Java层如何使用Frida进行Hook。原创 2023-06-17 00:23:40 · 934 阅读 · 0 评论 -
【Android】脱壳之Frida-dexdump小计
本文详细介绍了frida-dexdump脱壳原理相关知识并且在实战中进行了脱壳操作。原创 2023-06-08 00:08:11 · 3959 阅读 · 1 评论 -
【Android】logcat日志敏感信息泄露
之前会遇到一些应用logcat打印敏感信息,包括但不限于账号密码,cookie凭证,或一些敏感的secretkey之类的,下面客观的记录下起危害性。原创 2023-06-03 15:22:26 · 881 阅读 · 0 评论 -
【Android】Jadx动态调试应用
Jadx已支持动态调试APP,但一直没试过,从逆向角度尝试走一遍流程并熟悉,方便日后翻阅。本文阐述了动态调试的原理以及android如何从逆向角度,利用jadx进行动态调试APP,并尝试多种方式,最终达到动态调试的目的。原创 2023-06-03 01:44:42 · 4781 阅读 · 0 评论 -
Android逆向中常用工具和命令
Android逆向中常用工具和命令原创 2022-12-16 00:13:03 · 313 阅读 · 0 评论 -
AndroidSecNotes
nop原创 2023-01-27 22:39:07 · 64 阅读 · 0 评论 -
Android中的allowBackup属性
这个属性的安全风险源自于adb backup 命令允许任何一个能够打开USB调试开关的人从Android手机复制应用设备到外设。可以通过adb backup和adb restore 备份和恢复应用程序数据。原创 2023-01-09 23:59:25 · 176 阅读 · 0 评论 -
【Android】逆向自动化
安卓APK自动反编译,自动分析组件导出与非导出,自动解析组件中可能存在攻击点的关键词,自动收集所有APK中的URL,自动上传解析结果到飞书文档。原创 2022-08-25 20:36:28 · 942 阅读 · 0 评论 -
【Android】组件安全-Trick2
jadx-gui直接逆向,占用内存比较大,而且在搜索上扩展性不强,所以这里提供一种个人在用的比较实用的方法。原创 2022-08-01 00:34:11 · 243 阅读 · 0 评论 -
【Android】组件安全
【Android客户端漏洞挖掘】组件安全本文主要在实战过程中的一些经验总结,长期更新,目前状态是初学,目前实战中会挖一些webview沙箱任意读、lauchanywhere等比较常见的问题,其他类型的漏洞还在不断地学习中。drozer通过drozer可以看出apk有哪些组件可导出下载https://labs.f-secure.com/tools/drozer/常用命令run app.activity.info -a com.xxxrun app.service.info -a com原创 2022-03-16 22:19:59 · 5777 阅读 · 0 评论 -
【Android】常用特殊权限
Android四种常用的特殊权限原创 2023-01-07 22:03:27 · 453 阅读 · 0 评论