Android靜態安全檢測 -> 內網測試信息殘留漏洞

原創 4lwin 2020-06-22 03:14

內網測試信息殘留漏洞


一、API


【1】殘留的測試數據【內網URL地址】


【2】殘留的測試數據【測試賬號、密碼等】


二、觸發條件


1. 定位內網url地址的位置


【1】對應到smali語句中的特徵

r'const-string.+, "http://10\.[0-9]+'


三、漏洞原理


【1】程序代碼內部包含殘留測試信息,包括內網url地址、測試賬號、密碼等,這些信息可能會被盜取並惡意利用


四、修復建議


【1】開發者根據檢測結果,去檢查相關文件中是否包含更多的測試數據


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Android靜態安全檢測 -> 強制類型轉換本地拒絕服務漏洞

強制類型轉換本地拒絕服務漏洞 - Intent.getXXXExtra() 一、API 1. 繼承關係 【1】java.lang.Object 【2】android.content.Intent 2. 主要方法 【1】getSe

4lwin 2020-06-22 03:14:51

Android靜態安全檢測 -> 重打包防護檢測

重打包防護檢測 一、API 【1】APK簽名校驗:PackageManager.getPackageInfo( ) 【2】dex文件校驗:對比classes.dex文件的哈希值 【3】參考鏈接 http://www.dr

4lwin 2020-06-22 03:14:51

Android靜態安全檢測 -> Intent Scheme URL 漏洞

Intent Scheme URL 漏洞 - parseUri方法 一、Intent scheme URL的解析及過濾 1. 利用 Intent.parseUri 解析uri,獲取原始的intent對象 2. 對intent對象設置過

4lwin 2020-06-22 03:14:51

Android靜態安全檢測 -> Content Provider組件本地SQL注入漏洞

Content Provider組件本地SQL注入漏洞 - ContentProvider.query方法 一、API 1. 繼承關係 【1】java.lang.Object 【2】android.content.ContentPr

4lwin 2020-06-22 03:14:51

Android靜態安全檢測 -> 初始化IvParameterSpec函數錯誤

4lwin 2020-02-23 22:01:46

Android靜態安全檢測 -> 強制類型轉換本地拒絕服務漏洞

強制類型轉換本地拒絕服務漏洞 - Intent.getXXXExtra() 一、API 1. 繼承關係 【1】java.lang.Object 【2】android.content.Intent 2. 主要方法 【1】getSe

4lwin 2020-06-22 03:14:51

Android靜態安全檢測 -> 重打包防護檢測

重打包防護檢測 一、API 【1】APK簽名校驗:PackageManager.getPackageInfo( ) 【2】dex文件校驗:對比classes.dex文件的哈希值 【3】參考鏈接 http://www.dr

4lwin 2020-06-22 03:14:51

Android靜態安全檢測 -> Intent Scheme URL 漏洞

Intent Scheme URL 漏洞 - parseUri方法 一、Intent scheme URL的解析及過濾 1. 利用 Intent.parseUri 解析uri,獲取原始的intent對象 2. 對intent對象設置過

4lwin 2020-06-22 03:14:51

Android靜態安全檢測 -> Content Provider組件本地SQL注入漏洞

Content Provider組件本地SQL注入漏洞 - ContentProvider.query方法 一、API 1. 繼承關係 【1】java.lang.Object 【2】android.content.ContentPr

4lwin 2020-06-22 03:14:51

Android靜態安全檢測 -> 初始化IvParameterSpec函數錯誤

4lwin 2020-02-23 22:01:46