记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

安卓应用程序渗透测试(一)

在安全行业中,通常采用安卓安全测试来检测安卓APP中的漏洞。Web应用测试之后,人们更加关心的领域便是移动应用测试。我们先从一些基础开始。安卓设备基础架构Linux内核层对于硬件,我们通常要求驱动程序作为软件,以便该硬件可以顺利运行。我们选择Linux内核,因为它具有安全功能。· 基于用户的权限模型· 进程隔离· 用于安全IPC的可扩展机制· 能够移除内核中不必要且可能不安全的部分硬件抽象层硬件抽象层让应用程序可以直接访问硬件资源,比如蓝牙,音频,视频等,如图:在硬件抽象层之上有一层应用框架层,其中包含着很多非常重要且有用的库,如下:· Surface Manager:管理窗口和
发布时间:2018-09-18 12:20 | 阅读:70702 | 评论:0 | 标签:移动安全 Android app安全

通过DIVA了解APP安全问题

导语 篇幅有些长,请使用目录品用。 目录 不安全日志输出 Insecure Logging 不安全的数据存储 Insecure Data Storage -Part1 Insecure Data Storage -Part2 Insecure Data Storage -Part3 Insecure Data Storage -Part4 硬编码 Hardcoding Issues -Part1 Hardcoding Issues -Part2 访问控制 Access Control lssues -Part 1 Access Control lssues -Part 2 Access Control lssues -Part 3 用户数据问题 Input Validati

大量开发者会将访问token和API密钥硬编码至Android应用

现如今,许多开发者仍然习惯于将access token(访问凭证)和API key(API密钥)等敏感内容编码到移动APP中去,将依托于各种第三方服务的数据资产置于风险中。 机密信息易遭泄漏 网络安全公司Fallible一项最新的研究结果(点击查看)显示:在统计到的16,000多个安卓应用中,有约2,500个应用都出现开发者将机密凭证硬编码进去的情况。统计工具为去年11月该公司生产的在线扫描程序。 应该说,当需要提供的访问只在有限的范围内时,将第三方服务的访问凭证硬编码到应用程序中的做法还是可以理解的。但在某些情况下,开发者如果将允许访问机密数据或关键系统的key也加入进去,就很容易产生问题。 比如,在Fallible本次的统计中,有304个APP就出现了这种情况。这些APP包含了为如Twitter,Drop
发布时间:2017-02-04 14:05 | 阅读:158733 | 评论:0 | 标签:数据安全 终端安全 app安全 安卓 数据泄露 Android

SFDC 北京 Security 大会精彩分享

上周六,SegmentFault 首次开发者大会——SFDC 北京站「Security」大会——已顺利落下帷幕,四个会场,20 多位嘉宾,600+ 开发者参与其中。 上午主会场讲师分别从安全开发的理念传达、安全开发的需求罗列、系统设计的注意事项、以及测试的安全保障等多方面为大家带来了安全开发的经验分享。下午分会场的讲师们则分别从项目安全开发、服务端安全开发、移动安全开发为大家带来精彩分享。 全天四大会场,20 多位嘉宾分享的内容非常多,这里只节选部分特别精彩的演讲文稿分享给大家。 上午主会场 上午主会场分享嘉宾分别是 SegmentFault CEO 高阳,岂安科技创始人罗启武,知道创宇云安全高级安全顾问锅涛,阿里安全高级安全专家方超和 ThoughtWorks 资深质量分析师覃其慧。这里我们主要分享一下开场
发布时间:2016-11-23 20:35 | 阅读:112272 | 评论:0 | 标签:独家 app安全 Nginx+Lua PPT Security SegmentFault SFDC 业务逻辑漏洞 手机安

2014上半年国内安卓银行应用隐私泄露和安全隐患研究报告

2014年是中国国际互联网成立至今的第20周年。移动通信技术的快速发展导致移动设备的数量呈指数级增长,2014年手机网民大概有5亿人。手机病毒的指数级增长无疑是移动安全的爆发点,具体表现在移动支付安全是移动互联网新的挑战。新的移动应用和新功能,如网上银行、游戏、和手机收费等,为用户带来了私人隐私泄露等安全风险。目前大多数银行使用自己开发的移动应用软件来运行移动金融业务来为客户提供移动金融服务。不幸的是,由于缺少规范的安全监管标准和流程,许多银行不能对其应用软件充分执行必要的安全性测试,结果导致许多银行移动应用可能会在不知不觉的情况下将重要的数据信息暴露给黑客,将使用应用的银行客户置于风险之中。为了更好地对国内银行的移动应用的安全现状做全方面的调研和评估,移动互联网安全公司VisualThreat
发布时间:2014-05-21 11:45 | 阅读:76576 | 评论:0 | 标签:无线安全 终端安全 app安全 手机应用 金融安全 银行应用

移动APP安全在渗透测试中的应用

这篇文章从去年很早就想写,一直没时间,刚好过段时间有沙龙是讲这方面的东西,整理了下就有了下文。以往安全爱好者研究的往往是app的本地安全,比如远控、应用破解、信息窃取等等,大多人还没有关注到app服务端的安全问题,于是在这块的安全漏洞非常多。移动app大多通过web api服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起。移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/server漏洞等,但是由于部分app不是直接嵌入网页在app中,而是使用的api接口返回josn数据,导致扫描器爬虫无法爬取链接。下图是抓的糗事百科糗事列表,contet字段内容与我无关 -_-|||那么我尝试去找a
发布时间:2014-03-21 19:30 | 阅读:121680 | 评论:0 | 标签:WEB安全 终端安全 app安全 手机安全 手机渗透测试

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云