Android APP漏洞挖掘

标签：

0x00

1、组件公开安全漏洞

参考Android 组件安全。

2、Content Provider文件目录遍历漏洞

参考Content Provider文件目录遍历漏洞浅析。

3、AndroidManifest.xml中AllowBackup安全检测

参考两分钟窃取身边女神微博帐号？详解Android App AllowBackup配置带来的风险。

4、Intent劫持风险安全检测

参考Android组件通信过程风险。

5、数据存储安全检测

参考Android Database配置模式安全风险浅析，Android本地数据存储：Internal Storage安全风险浅析，Android本地数据存储：Shared Preferences安全风险浅析。

6、拒绝服务攻击安全检测

参考Android应用本地拒绝服务漏洞浅析。

7、随机数生成函数使用错误

参考SecureRandom漏洞解析。

8、中间人攻击漏洞： 有漏洞代码和详细的讲解。

9、从sdcard加载dex漏洞

参考外部动态加载DEX安全风险浅析。

10、Activity被劫持风险

参考Activity劫持实例与防护手段。

11、WebView高危接口安全检测：webview高危接口漏洞，有漏洞利用代码和详细的讲解。

12、WebView明文存储密码漏洞

参考Android中webview缓存密码带来的问题。

13、WebView不检验证书漏洞

WebView信任了任何证书，导致没有证书的网页也能被加载。

14、Webview file跨域访问：webview跨域访问访问文件，有漏洞利用代码和详细的讲解。

15、端口开发：主要分析Baidu地图和高德地图，并有漏洞利用代码，展示实际的效果。并且通过反编译smali分析了为什么漏洞利用代码要这么写。

16、明文存储，明文传输

如果密码或者聊天记录被明文存储在用户的私有目录，更甚至存储在SD卡上，那就有被泄露的风险。

如果从用户的密码是通过明文传输给服务器，那有可能通过抓包工具截获后破解。

Android APP漏洞挖掘

标签：

标签：

0x00

1、组件公开安全漏洞

参考Android 组件安全。

2、Content Provider文件目录遍历漏洞

参考Content Provider文件目录遍历漏洞浅析。

3、AndroidManifest.xml中AllowBackup安全检测

参考两分钟窃取身边女神微博帐号？详解Android App AllowBackup配置带来的风险。

4、Intent劫持风险安全检测

参考Android组件通信过程风险。

5、数据存储安全检测

参考Android Database配置模式安全风险浅析，Android本地数据存储：Internal Storage安全风险浅析，Android本地数据存储：Shared Preferences安全风险浅析。

6、拒绝服务攻击安全检测

参考Android应用本地拒绝服务漏洞浅析。

7、随机数生成函数使用错误

参考SecureRandom漏洞解析。

8、中间人攻击漏洞： 有漏洞代码和详细的讲解。

9、从sdcard加载dex漏洞

参考外部动态加载DEX安全风险浅析。

10、Activity被劫持风险

参考Activity劫持实例与防护手段。

11、WebView高危接口安全检测：webview高危接口漏洞，有漏洞利用代码和详细的讲解。

12、WebView明文存储密码漏洞

参考Android中webview缓存密码带来的问题。

13、WebView不检验证书漏洞

WebView信任了任何证书，导致没有证书的网页也能被加载。

14、Webview file跨域访问：webview跨域访问访问文件，有漏洞利用代码和详细的讲解。

15、端口开发：主要分析Baidu地图和高德地图，并有漏洞利用代码，展示实际的效果。并且通过反编译smali分析了为什么漏洞利用代码要这么写。

16、明文存储，明文传输

如果密码或者聊天记录被明文存储在用户的私有目录，更甚至存储在SD卡上，那就有被泄露的风险。

如果从用户的密码是通过明文传输给服务器，那有可能通过抓包工具截获后破解。

Android APP漏洞挖掘

标签：