app安全测试-平台和数据存储不当使用

说明

平台使用不当

  • 开发写代码的调试信息中,经常可能会有一些敏感的信息被打印出来,比如用jd-gui查看下如下内容:

    image.png

  • 既然是查看日志,也可以采用直接如IDE+监控LogCat的方式

    image.png

  • 还有一种方式,其实就是adb logcat 过滤日志的方式,也是可行的

不安全的数据存储

  • 下载diva apk 解压后把apk文件安装到雷电模拟器上

  • 用模拟器打开apk


    image.png

    image.png

  • jd-gui 打开代码分析,发现使用了sharepreference 存信息到本地

    image.png

  • adb 进入到shell,找到shared_prefs,最终使用cat jakhar.aseem.diva_preferences.xml 查看到敏感的信息内容

adb shell
cd /data/data/jakhar.aseem.diva

osp:/data/data/jakhar.aseem.diva # ls
cache  code_cache  databases  lib  shared_prefs
osp:/data/data/jakhar.aseem.diva # cd shared_prefs
aosp:/data/data/jakhar.aseem.diva/shared_prefs # ls
jakhar.aseem.diva_preferences.xml
osp:/data/data/jakhar.aseem.diva # cat  jakhar.aseem.diva_preferences.xml

<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
    <string name="user">hello</string>
    <string name="password">word</string>
</map>
at jakhar.aseem.diva_preferences.xml                                          <
<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
    <string name="user">hello</string>
    <string name="password">word</string>
</map>
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • Andorid-APP 安全测试
      Android系统由于其开源的属性,市场上针对开源代码定制的ROM参差不齐,在系统层面的安全防范和易损性都不一...
    道书简阅读 9,495评论 0 23
  • 移动APP安全
    1 移动APP安全风险分析 1.1 安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客...
    你还真是学不乖丶阅读 983评论 0 2
  • 十、Proguad使用与配置
    mac下使用反编译命令: 使用命令:chmod +x jadx-gui 将jadx-gui变成可执行文件。(在te...
    Serenity那年阅读 1,181评论 0 0
  • Android - 收藏集
    用两张图告诉你,为什么你的 App 会卡顿? - Android - 掘金 Cover 有什么料? 从这篇文章中你...
    hw1212阅读 12,913评论 2 59
  • Android逆向分析笔记
    layout: wikititle: Android逆向分析笔记categories: Reverse_Engin...
    超哥__阅读 10,734评论 1 17