记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

安卓应用程序渗透测试(八)

2018-10-09 12:20

在上一篇文章安卓应用程序渗透测试七中,我们已经讲到了不安全的外部存储和内部存储,还有不安全的通信。本文继续讲解其他问题。

攻击Content Provider

在开始之前,建议先阅读一下关于Content Provider的相关内容,在安卓应用程序渗透测试五中有介绍,当一个app想跟另外一个app共享数据时,Content Provider至关重要,所以读一下还是很有帮助的。

Content Provider通过处理其他app的请求来管理对结构化数据集的访问。所有的访问请求都会调用Content Resolver,然后再通过Content Resolver去调用具体的Content Provider方法进行访问。

常用方法如下:

Query(),Insert(),Update(),Delete(),GetType(),OnCreate()。

因为这些方法跟数据库操作一样,所以我们需要检测URI中是否存在注入。

我们可以使用drozer这个工具来检测是否存在注入

首先执行如下命令:

Run scanner.provider.finduris –a

2.png

接着执行下面这条命令:

Run scanner.provider.injection -a

3.png

Content query --uri

4.png

缓解措施

· 如果content provider只在你的app使用,那么应该在manifest文件中设置为:android:exported=false

· 如果你想导出content provider,你也应该为其他一个或多个app设置读写权限。

· 如果你使用content provider只在你自己的app之间共享数据,那么最好将android:protectionLevel的属性设置为“signature”保护,即签名保护。

· 访问content provider时,使用参数化查询方法,如query(),update()和delete()等,这样可以避免来自不信任源的潜在SQL注入攻击。

不安全的加密技术

目前,绝大部分web应用都采用密码技术来保护敏感数据。但是,敏感数据没有加密的情况也是很普遍的。即使那些应用进行了加密,也是不安全的,因为他们通常采用的是设计存在问题的密码技术,要么使用不恰当的密码,要么使用了强密码,但是却犯了严重的错误。这些问题就会导致敏感数据泄露和违规操作等。

如图,采用的是base64加密:(严格来说base64并不是加密技术,而是一种编码方式)

5.jpg

可以使用Burpsuite进行base64解码就能得到用户名,如图:

6.jpg

通过逆向得到用于身份验证算法的源代码,如图:

7.png

然后使用AES-Exploit对密码进行破解,可以得出密码,如图:

8.jpg

缓解措施

· 不使用不安全的加密算法,比如MD5/SHA1。选择更安全的加密算法,比如SHA256,甚至更好的算法。

· 离线生成密钥对并小心谨慎的存储私钥,千万不要在不安全的通道中传输密钥。

· 重点保护基础设施的凭证,比如数据库凭证或MQ队列访问详情,通过使用严格的文件系统权限和控制进行保护,或者采用安全的加密技术,且不容易被本地用户和远程用户进行破解。

· 确保存储在磁盘中的加密数据没那么轻易破解。例如,如果数据库连接池进行未加密的访问,那么数据库加密是没有意义的。

源码中的硬编码密码

· 硬编码密码可能会损害系统安全,而且损害之后难以补救。

· 千万不要对密码进行硬编码。硬编码不仅能让所有的项目开发人员看到密码,而且会让修复问题变得异常困难。

· 一旦代码投入使用,密码就无法修改,除非对软件进行打补丁升级。如果使用密码保护的账户遭到入侵,那问题就大了,系统所有者将不得不在安全性和可用性之间做出选择。

本文翻译自:https://gbhackers.com/android-application-penetration-part-8/如若转载,请注明原文地址: http://www.hackdig.com/10/hack-53126.htm
知识来源: www.4hou.com/mobile/13877.html

阅读:129258 | 评论:0 | 标签:移动安全 Android 渗透测试

想收藏或者和大家分享这篇好文章→复制链接地址

“安卓应用程序渗透测试(八)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云

本页关键词