摘要:
SQLite是一款轻量级的关系型数据库,运算速度快,占用资源少,特别适合在移动设备上使用,安卓内置了SQLite数据库 重新建一个工程,自己新建一个SQLite数据库,给新的数据库命名为BookStore.db 运行一下,点创建数据库按钮 查看/data/data/com.example.dbtes 阅读全文
摘要:
SharedPreferences是一个轻量级的存储类,通常用来存储应用的配置信息,采用键值对的方式存储数据,且支持多种数据类型。 话不多说,练起来~ 修改一下代码,将测试用的APP的数据存储到SharedPreferences中 运行起来,点一下按钮存储数据 打开android device mo 阅读全文
摘要:
敏感信息安全主要检查客户端是否保存明文(或者容易被破解)的敏感信息,以及敏感信息的非授权访问。 目前安卓实现数据持久化的方式有4种:文件存储、SharedPreferences存储、数据库存储、SD卡存储。因此咱们得先学习下安卓的数据存储(持久化)相关的知识。本着光说不练假把式,只看不练一用就废的原 阅读全文
摘要:
破坏完整性实验 完整性校验的目的就是防止Android客户端程序被篡改/二次打包,下面以篡改资源文件为例来做实验: 1. apk解包 解包命令:java -jar apktool_2.5.0.jar d exampleapp.apk -o out 解包结果: 2. 修改源文件 找到first_lay 阅读全文
摘要:
1.仅前端判断文件类型 function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!" 阅读全文
摘要:
这段时间在看安卓方面的东西,hmmm....安卓手机。。倒是一直在用,华为铁粉,从诺基亚之后就一直是华为了,顺便吐槽下P30的相机,说好的莱卡相机呢。。。难道是我不会用。。。>_< 反正除了会用安卓手机,安卓其他方面的东西一窍不通,嗯,就这样开始学安卓安全测试,真正的从零开始。。。 目前看了两本书 阅读全文
摘要:
最近在测APP,直接用手机多有不便,就下了Genymotion来用,Genymotion联网和设置代理又搞了半天,因此记录下来,以便以后查阅。 1. 安装好Genymotion和Virtualbox,我在Genymotion下的是Huawei P30 2. 模拟器网络配置 我测试的app后端需要连接 阅读全文
摘要:
drozer是一款Android漏洞利用和安全评估框架。在drozer问世前,编写app的漏洞利用代码,得编译一个Android app,然后部署到手机上,如果要修改,得再编译部署一次。而drozer解决了这个问题,drozer通过drozer agent这个代理,像设备发送命令用来测试漏洞利用代码 阅读全文
摘要:
1.<script>alert(1);</script> 2.显示文字区域过滤了<>,但是input没有过滤,payload:"><script>alert(1);</script> 3.显示文字区域和input都过滤了<>,payload:'onclick='javascript:alert(1) 阅读全文
摘要:
1. <script>alert(document.domain)</script> 2. 先闭合input标签,再加入脚本:"><script>alert(document.domain)</script> 4. 可以利用参数p3:p1=11&p2=Japan&p3="><script>alert 阅读全文