记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

实战Webview跨域访问风险

漏洞原理: WebView对象的行为是通过WebSettings类进行设置的,如果配置不当,攻击者就可以利用该漏洞可以打破Android沙盒隔离机制,从而通过某个应用来攻击其它应用,盗取其它应用本地保存的配置文件、敏感信息等。 主要利用了android.webkit.WebSettings类中setAllowFileAccess()、setJavaScriptEnabled()、setAllowFileAccessFromFileURLs()、setAllowUniversalAccessFromFileURLs()四个方法配置不当(允许webview使用file协议并允许使用javaScript)的风险,并配合Activity组件暴露漏洞进行攻击。 setAllowFileAccess() // 启用或禁用
发布时间:2018-01-15 04:15 | 阅读:241519 | 评论:0 | 标签:移动安全 app安全测试 webview跨域访问风险 组件导出漏洞

Burpsuite抓包Android模拟器(AVD)设置

测试android app的时候,可能会用到Android模拟器,常见的模拟器比如android studio自带的AVD,也有一些其它的比如夜神安卓模拟器等。 可能会需要对app进行抓包,抓取一些接口的请求,进行改包重放等操作。分享一下使用burpsuite进行抓包的设置: 1,Wirless & networks 设置–Cellular networks,如图:             2,点击”Access Point Names”,如图:             3,Proxy、Port设置为burpsuite所在机器的IP和监听端口,如
发布时间:2016-11-15 05:30 | 阅读:232727 | 评论:0 | 标签:移动安全 android安全 app安全测试 Android

乌镇峰会APP安全测试 绿盟科技安保经验分享

阅读: 702第二届世界互联网大会正在进行中,今年大会的在线交流非常顺畅,其中就有大会的一个创新看点,大会专用APP。为了保障大会APP安全性,绿盟科技安全服务团队的重大活动保障技术专家早在11月就完成了大会APP及后端服务器的安全测试工作。 据报道,此次大会制作了专用APP,并建立了会务云系统,实现4G网络、无线wifi的全覆盖,会议服务实现全面智能化,这成为大会诸多亮点之一。随着互联网+时代的到来,智能手机和iPad等移动终端设备越来越普及,人们逐渐习惯了使用应用客户端上网的方式,而智能终端的普及不仅推动了移动互联网的发展,也带来了移动应用APP的爆炸式增长。这些海量的APP可能会面临如下威胁:移动应用APP安全测试一般来说,绿盟科技安全服务团队在对移动APP进行安全检测时,采取的主要思路如下(以安卓A
发布时间:2015-12-18 02:15 | 阅读:115665 | 评论:0 | 标签:技术分享 app安全测试 乌镇峰会 互联网+ 大会专用APP 安保经验分享 绿盟科技

Android APP安全测试基础

自从去了新公司之后,工作太忙,变的有点懒了,很久没有更新Blog。今天跟几个小伙伴一起吃饭,小伙伴提起我的Blog,想想是该更新更新了,就把我投稿给sobug的这篇转过来吧,关于Android app安全测试的基础东东,在Sobug 的url: https://sobug.com/article/detail/7 背景 最近这两年移动端真是非常火,每个单位或多或少都会有那么几款App,对于我们Web安全攻城师来说,App安全也需要或多或少的了解一些。年初单位来了一位对App安全略有研究的小伙伴,某日闲来无事教了笔者几招,分享给大家。有句古语:”工欲善其事,必先利其器”,我们要研究App安全,没有几款高大上的神器是会非常麻烦的,因此本文主要给大家分享一下笔者学到的一些基础知识,主要是一些移动端测试辅助工具的使用。
发布时间:2015-02-08 13:10 | 阅读:110412 | 评论:0 | 标签:安全工具 app安全测试 web安全 安全测试 渗透测试 移动安全 Android

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云