--
--缺陷描述
直接呼叫activity可以繞過一些機制。
分析方案
drozer繞過activity進行登入(方法詳見下測試方法說明)
對應威脅
設計缺陷
風險等級
中風險後果
繞過原有機制,進行操作。
修復方案
開發階段防護:將不必要的匯出的元件設定為不匯出,即exported的屬性為false;對許可權進行控制
測試方法:
如存在activity元件暴露,檢視activity暴露元件
drozer越過啟動activity
----
缺陷描述
客戶端程式登入後,cookie資訊明文儲存在本地資料庫中。
分析方案
fiddler抓包(方法詳見下測試方法說明)
對應威脅
敏感資訊洩露
風險等級
高風險後果
惡意程式通過系統漏洞提權,竊取敏感資訊。
修復方案
採用對cookies資料庫進行加密保護。(第三方服務可選邦邦,愛加密)
測試方法:
匯出應用資料庫,檢視cookies資料
比對cookies資料儲存jsessionid值,判斷同抓包資料是否一致(如比對一致,則漏洞判斷成立)
Android 小知識集合
顯示網頁 1.uri uri uri.parse 2.intent it new intent intent.action viewuri 3.startactivity it 顯示地圖 1.uri uri uri.parse geo 38.77.2.intent it new intent int...
Android開發小知識
繫結手機返回鍵 繫結手機返回鍵按鈕 override public boolean onkeydown int keycode,keyevent event return super.onkeydown keycode,event 中控制button的顯示隱藏和禁用 設定button屬性 butto...
android入門小知識
1.在介紹android的系統架構之前大家先看一張圖 android系統架構包含四個層面 linux核心層,系統執行層,應用框架層,應用層。linux核心層 為android裝置的各種硬體提供了底層的驅動。比如 顯示驅動,音訊驅動等 系統執行層 c c 在這裡 sqlite webkit等在這裡。a...