随笔分类 - 移动安全
摘要:接下来的三个:easy-apk,easy-java, easy-ini本质还是代码审计,所以moblie的题最终都是考代码么,现在投降还来得及么>_< 咱的代码水平真的不咋地,不过做的过程中get了两个新工具,记录下新工具吧哈哈~ 做easy-apk的时候,用dex2jar反编译会报错: 怀疑我的工
阅读全文
摘要:下载android-backup-tookit:https://sourceforge.net/projects/adbextractor/files/latest/download 执行下面的命令转换ab文件为jar文件: java -jar abe.jar unpack app3.ab app3
阅读全文
摘要:App2 下载后还是拖到模拟器安装: 反编译一下,几个重点关注的文件: 翻看了一圈儿,大概是这样纸的: 1.接收输入参数,传到SecondActivity: 2.SecondActivity中有一个判断,对接受到的输入参数进行某种操作(doRawData)后等于VEIzd/V2UPYNdn/bxH3
阅读全文
摘要:今天去CTF瞄了一眼发现有mobile的题,就拿来学习下,CTF的入门题目对新手很有帮助的~ 下载的附件是一个apk文件,开启模拟器,把apk拖进去安装。咱有两个模拟器,配置不一样,第一个安装的时候报错了,然后尝试第二个,安装成功(虽然菜鸟本人也不知道为啥,反正多尝试总没错~) 看上去是要输入正确的
阅读全文
摘要:SQLite是一款轻量级的关系型数据库,运算速度快,占用资源少,特别适合在移动设备上使用,安卓内置了SQLite数据库 重新建一个工程,自己新建一个SQLite数据库,给新的数据库命名为BookStore.db 运行一下,点创建数据库按钮 查看/data/data/com.example.dbtes
阅读全文
摘要:SharedPreferences是一个轻量级的存储类,通常用来存储应用的配置信息,采用键值对的方式存储数据,且支持多种数据类型。 话不多说,练起来~ 修改一下代码,将测试用的APP的数据存储到SharedPreferences中 运行起来,点一下按钮存储数据 打开android device mo
阅读全文
摘要:敏感信息安全主要检查客户端是否保存明文(或者容易被破解)的敏感信息,以及敏感信息的非授权访问。 目前安卓实现数据持久化的方式有4种:文件存储、SharedPreferences存储、数据库存储、SD卡存储。因此咱们得先学习下安卓的数据存储(持久化)相关的知识。本着光说不练假把式,只看不练一用就废的原
阅读全文
摘要:这段时间在看安卓方面的东西,hmmm....安卓手机。。倒是一直在用,华为铁粉,从诺基亚之后就一直是华为了,顺便吐槽下P30的相机,说好的莱卡相机呢。。。难道是我不会用。。。>_< 反正除了会用安卓手机,安卓其他方面的东西一窍不通,嗯,就这样开始学安卓安全测试,真正的从零开始。。。 目前看了两本书
阅读全文
摘要:最近在测APP,直接用手机多有不便,就下了Genymotion来用,Genymotion联网和设置代理又搞了半天,因此记录下来,以便以后查阅。 1. 安装好Genymotion和Virtualbox,我在Genymotion下的是Huawei P30 2. 模拟器网络配置 我测试的app后端需要连接
阅读全文
摘要:drozer是一款Android漏洞利用和安全评估框架。在drozer问世前,编写app的漏洞利用代码,得编译一个Android app,然后部署到手机上,如果要修改,得再编译部署一次。而drozer解决了这个问题,drozer通过drozer agent这个代理,像设备发送命令用来测试漏洞利用代码
阅读全文
