Android App常见安全问题演练分析系统-DIVA
cac55 2024-10-01 07:53 18 浏览 0 评论
作者:nx4dm1n
稿费:300RMB(不服你也来投稿啊!)
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
I. 什么是DIVA
DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞的Android app,目的是为了让开发、安全工程师、QA等了解Android app常见的一些安全问题,类似dvwa,也可以把它当成一个漏洞演练系统。
为了使用DIVA熟悉各种常见的app安全问题,需要做一些准备工作。
准备工作:
1,安装JDK,很多工具需要用到java环境;
2,安装Android开发工具(ADT,Android studio),下载地址:
https://developer.android.com/studio/index.html
主要包括SDK管理器,安卓虚拟设备管理器(Android Virtual Device,AVD)等,并且集成了adb、emulator等常用工具。dex2Jar、adb是Android app测试常用到的工具,emulator是ADT自带的模拟器,可以模拟Android环境。
3,安装APKtool、Drozer、dex2jar、JD-GUI
Apktoolss下载地址:https://bitbucket.org/iBotPeaches/apktool/downloads
Drozer下载地址:https://labs.mwrinfosecurity.com/tools/drozer/
Dex2jar下载地址:https://sourceforge.net/projects/dex2jar/?source=typ_redirect
JD-GUI下载地址:http://jd.benow.ca/
首先运行Android模拟器,可以使用如下命令:
1 2 3 4 5 6 7 | #列出已经建立好的AVD,也就是模拟器her0ma@localhost:~/software/SDK/tools$ ./emulator -list-avdsNexus_4Nexus_5X_API_19Nexus_6#启动模拟器,-avd参数指定模拟器的名称her0ma@localhost:~/software/SDK/tools$ ./emulator -avd Nexus_4 |
4,下载并安装DIVA,下载地址: http://www.payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz
使用adb安装DIVA app到模拟器,命令如下:
1 2 3 4 | her0ma@localhost:~/software/SDK/platform-tools$ ./adb install /Users/her0ma/software/diva-beta.apk[100%] /data/local/tmp/diva-beta.apk pkg: /data/local/tmp/diva-beta.apkSuccess |
如果开启了多个模拟器,可以用-s参数来指定具体要安装到那台模拟器。
5,打开已经安装好的DIVA app,如图所示:
II. 反编译App
对Android app进行静态分析是一种常见的漏洞查找方式,可以使用Dex2Jar获取app的.java文件。命令如下:
1 2 | her0ma@localhost:~/software/dex2jar$ sudo ./d2j-dex2jar.sh /Users/her0ma/software/diva-beta.apkdex2jar /Users/her0ma/software/diva-beta.apk -> ./diva-beta-dex2jar.jar |
会在工具同目录下生成一个.jar文件,可以用JD-GUI工具直接打开diva-beta-dex2jar.jar文件
III. 使用apktool获取smail代码
Android app静态分析的时候,可以通过AndroidManifest.xml文件来了解app及其内部结构的一些信息,可以使用apktool获取这个文件以及smali代码,如图:
使用到的命令:
1 2 3 4 5 6 7 8 9 10 11 12 | her0ma@localhost:~/software/SDK/tools$ java -jar apktool_2.2.0.jar d /Users/her0ma/software/diva-beta.apk -o 360bobaoI: Using Apktool 2.2.0 on diva-beta.apkI: Loading resource table...I: Decoding AndroidManifest.xml with resources...I: Loading resource table from file: /Users/her0ma/Library/apktool/framework/1.apkI: Regular manifest package...I: Decoding file-resources...I: Decoding values */* XMLs...I: Baksmaling classes.dex...I: Copying assets and libs...I: Copying unknown files...I: Copying original files... |
会将提取出来的xml以及smali文件输出到360bobao这个目录。
IV. 问题1:不安全的日志输出
该问题主要是由于app代码中将敏感信息输出到app的logcat中,查看app记录的logcat,可以使用如下命令:
1 | her0ma@localhost:~/software/SDK/platform-tools$ ./adb logcat |
然后在app的表单中输入内容,check out就可以看到相关的日志输出:
1 2 3 4 | 09-20 20:09:16.631 1538 1598 D ConnectivityService: NetworkAgentInfo [MOBILE (UMTS) - 101] validation failed09-20 20:09:43.466 2557 2557 E diva-log: Error while processing transaction with credit card: 622588011111111109-20 20:09:43.613 1198 1583 D AudioFlinger: mixer(0xf4580000) throttle end: throttle time(154)09-20 20:09:45.474 2557 2570 E Surface : getSlotFromBufferLocked: unknown buffer: 0x7f18601fd050 |
可以看出用户输入的内容被输出到了日志中,看看具体的漏洞代码,用JD-GUI打开LogActivity.class文件,相关代码如图:
下面这行代码就是将用户输入的内容记录到了logcat中。
1 | Log.e("diva-log", "Error while processing transaction with credit card: " + paramView.getText().toString()); |
V. 问题2:硬编码问题
很多开发小伙伴在开发app的时候,明明是可以用可变变量的,但是由于没有相关安全开发意识,使用了硬编码的方式,导致存在一定的安全风险。具体有关硬编码的定义可以参考百度,开发人员在开发的过程中应该尽量避免使用硬编码。先看看问题2涉及到的代码HardcodeActivity.class,JD-GUI打开,相关代码如下:
1 2 3 4 5 6 7 8 9 | public void access(View paramView) { if (((EditText)findViewById(2131492987)).getText().toString().equals("vendorsecretkey")) { Toast.makeText(this, "Access granted! See you on the other side :)", 0).show(); return; } Toast.makeText(this, "Access denied! See you in hell :D", 0).show(); } |
秘钥被明文写在了代码中,通过判断用户的输入是否和代码中的明文秘钥相同,来确定是否允许访问,对应代码:
1 | if (((EditText)findViewById(2131492987)).getText().toString().equals("vendorsecretkey")) |
攻击者只需要在app中输入秘钥就可以访问成功,如图:
后文中会继续讨论有关硬编码的问题。
VI. 问题3:不安全的数据存储
不安全的数据存储也是App常见的安全问题之一,主要有三种方式:
1,将敏感数据保存到配置文件中;
2,将敏感数据保存在本地的sqlite3数据库中;
3,将敏感数据保存在临时文件或者sd卡中。
在DIVA中关于此项问题的案例主要是3、4、5、6,首先看敏感数据存储在配置文件中的情况,对应的漏洞代码文件InsecureDataStorage1Activity.class,继续用JG-GUI打开,漏洞代码片段如下:
1 2 3 4 5 6 7 8 9 10 | public void saveCredentials(View paramView) { paramView = PreferenceManager.getDefaultSharedPreferences(this).edit(); EditText localEditText1 = (EditText)findViewById(2131493000); EditText localEditText2 = (EditText)findViewById(2131493001); paramView.putString("user", localEditText1.getText().toString()); paramView.putString("password", localEditText2.getText().toString()); paramView.commit(); Toast.makeText(this, "3rd party credentials saved successfully!", 0).show(); } |
上面问题代码中,使用了SharedPreferences类,该类是Android平台上一个轻量级的存储类,主要是用来保存一些常用的配置,本例中是用该类存储了用户名和密码,因此是具有风险的。SharedPreferences类存储的数据会以.xml的形式存储在/data/data/apppackagename/shared_prefs目录下。如图:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | #adb shell进入到模拟器的shell模式下her0ma@localhost:~/software/SDK/platform-tools$ ./adb shell#app安装之后会在/data/data下有相关的数据目录,保存缓存、配置文件等。root@generic_x86_64:/ # cd /data/data/root@generic_x86_64:/data/data # ls |grep divajakhar.aseem.divaroot@generic_x86_64:/data/data/jakhar.aseem.diva # lscachecode_cachedatabasesshared_prefsroot@generic_x86_64:/data/data/jakhar.aseem.diva/shared_prefs # lsjakhar.aseem.diva_preferences.xml#在配置文件中看到了app中用户输入的账号和密码。root@generic_x86_64:/data/data/jakhar.aseem.diva/shared_prefs # cat jakhar.aseem.diva_preferences.xml <?xml version='1.0' encoding='utf-8' standalone='yes' ?><map> <string name="user">admin</string> <string name="password">admin</string></map> |
另外一种不安全的数据库存储,是将用户的敏感信息存储到本地的数据库中,一般app对应的数据库目录:
/data/data/apppackagename/databases,本例中是: /data/data/jakhar.aseem.diva/databases,如图先在4中保存一下数据:
1 2 3 4 5 6 7 8 9 10 11 12 13 | adb pull将模拟器中的文件拉倒本地her0ma@localhost:~/software/SDK/platform-tools$ ./adb pull /data/data/jakhar.aseem.diva/databases/ids2 /Users/her0ma/software/[100%] /data/data/jakhar.aseem.diva/databases/ids2用sqlite3数据库打开,可以查看到用户存储的敏感数据her0ma@localhost:~/software$ file ids2ids2: SQLite 3.x databaseher0ma@localhost:~/software$ sqlite3 ids2SQLite version 3.8.10.2 2015-05-20 18:17:19Enter ".help" for usage hints.sqlite> .tablesandroid_metadata myusersqlite> select * from myuser;zhangsan|p@ssw0rd |
对应的漏洞文件InsecureDataStorage2Activity.class代码片段如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | public void saveCredentials(View paramView) { paramView = (EditText)findViewById(2131493003); EditText localEditText = (EditText)findViewById(2131493004); //将用户提交的数据保存在了数据库中 try { this.mDB.execSQL("INSERT INTO myuser VALUES ('" + paramView.getText().toString() + "', '" + localEditText.getText().toString() + "');"); this.mDB.close(); Toast.makeText(this, "3rd party credentials saved successfully!", 0).show(); return; } catch (Exception paramView) { for (;;) { Log.d("Diva", "Error occurred while inserting into database: " + paramView.getMessage()); } } } |
还有一种不安全的数据存储,是将数据存储在临时文件或者sd卡中,看对应的漏洞文件分别是InsecureDataStorage3Activity.class、InsecureDataStorage3Activity.class的相关代码片段如图:
存储在临时文件中,
存储在sd卡中,漏洞代码片段:
相关推荐
- Linux :远程访问的 16 个最佳工具(一)
-
通过远程桌面协议(RDP)可以访问远程Linux桌面计算机,这是Microsoft开发的专有协议。它为用户提供了一个图形界面,可以通过网络连接连接到另一台/远程计算机。FreeRDP是...
- Guacamole安装部署_guacamole简单搭建
-
Guacamole安装部署Guacamole简介Guacamole是提供连接远程桌面的解决方案的开源项目(也可以说是一个远程桌面网关),通过浏览器就能远程操作服务器,适用于Chrome、Firefox...
- 1-FreeRTOS入门指南_freertos+lwip
-
本专栏是根据官方提供的文档进行FreeRTOS的各个功能函数的说明,以及函数的使用本专栏不涉及动手操作,只是对原理进行说明,FreeRTOS基础知识篇更新完成会对如何在开发板上进行上手实战操作。这里不...
- Windows暂停远程桌面,这些工具可替代
-
Windows暂停远程桌面,这些工具可替代近日,Windows官方宣布将于2025年5月27日起,在Windows10和Windows11应用商店中下架“Microsoft远程桌面”应用。这一消...
- 现在做 Web 全景合适吗?_前端全景
-
作者:前端藏经阁转发链接:https://www.yuque.com/xwifrr/uxqg5v/cgclx0前言Web全景在以前带宽有限的条件下常常用来作为街景和360°全景图片可查看。它可以...
- 网页直连,MSTSC远程控制Windows新姿势!
-
不用安装软件,打开浏览器就能远程办公?今天要聊的是一种颠覆传统的远程控制玩法,直接用网页连接Windows电脑,无需下载客户端,手机、平板、Mac甚至Linux都能轻松操作。这可不是吹牛,结合MSTS...
- QQ出现大面积盗号,原因已查明,请抓紧改密码
-
你没有看错,QQ又上了微博热搜,这次比较严重了,QQ出现大面积盗号,多个QQ群出现yellow信息,其次导致多位成员被踢出,并且还被封号处理,到底怎么回事?请继续往下看。在6月26日晚上10点左...
- 我在淘宝花10块钱,买到了能玩“宝可梦”的Q群机器人
-
十一月雨|文我是个没事喜欢逛淘宝的人,虽然是个不怎么好的习惯,但总是能够发现一些奇奇怪怪的东西,这次我发现的是一种Q群机器人。Q群机器人,大多是基于腾讯SmartQQ协议实现的一种能自动回复、自定...
- Metasploit最实用的攻击模块"Meterpreter"
-
Meterpreter命令详解Meterpreter是Metasploit渗透测试平台框架中功能最强大的攻击载荷模块,在最新的Metasploitv4.5.0版本中,攻击载荷模块已经达到了25...
- 手机QQ再更新,上线了一个想让人“无法回避”的新功能
-
近日,手机QQ更新了V8.2.6.700版本,苹果iOS版和安卓版手机QQ上线了一个新功能:可以实时显示对方的手机电量以及充电状态。开通电量显示也很简单,长按主页左上方的头像,在在线状态中选择我的电量...
- 「网络安全」常见攻击篇(20)——点击劫持
-
什么是点击劫持?点击劫持(Clickjacking)技术又称为界面伪装攻击(UIredressattack),是一种视觉上的欺骗手段。通常有两种方式:攻击者使用一个透明的iframe,覆盖...
- 曾利用驱动人生升级通道传播的木马下载器攻击方法再次升级
-
一、概述御见威胁情报中心1月25日再次监测到曾利用驱动人生升级通道传播的木马下载器攻击方法再升级。本次升级主要变化在于攻击模块,木马在之前的版本上,新增计划任务“DnsScan”,在其中将永恒之蓝攻击...
- QQ飞车手游:点券首个功能性宠物上架,实战稳定触发还不快入手?
-
随着版本的逐渐更新,点券宠物在道具模式发挥逐渐越来越小,曾经探讨点券宠物在道具是不是真的没有用?直到出现了波斯猫改变了,我对点券宠物在道具模式的看法,如今又一个强势点券宠物来袭,而且特性触发简单,还是...
- 工单系统设计实战(上):核心配置与效能提升
-
流程的标准化并非终点,而是研发效能持续革命的基石。当工单系统真正成为研发团队的“神经中枢”,每一次需求的精准流转、每一行代码的受控提交、每一次版本的可靠发布,都将汇聚成驱动产品持续进化的强大动力...
- 6个编辑PDF文档内容的工具(软件+网站)
-
在日常办公、学习和生活中,PDF文件因其格式稳定、跨平台兼容性强等特点,被广泛应用。但有时我们拿到PDF文件后,却发现需要修改其中的内容,总感觉有点难搞。其实PDF文档编辑修改也很简单,这里分享6个软...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- 如何绘制折线图 (52)
- javaabstract (48)
- 新浪微博头像 (53)
- grub4dos (66)
- s扫描器 (51)
- httpfile dll (48)
- ps实例教程 (55)
- taskmgr (51)
- s spline (61)
- vnc远程控制 (47)
- 数据丢失 (47)
- wbem (57)
- flac文件 (72)
- 网页制作基础教程 (53)
- 镜像文件刻录 (61)
- ug5 0软件免费下载 (78)
- debian下载 (53)
- ubuntu10 04 (60)
- web qq登录 (59)
- 笔记本变成无线路由 (52)
- flash player 11 4 (50)
- 右键菜单清理 (78)
- cuteftp 注册码 (57)
- ospf协议 (53)
- ms17 010 下载 (60)