移动应用常见漏洞分析

第1节：Android客户端常见漏洞分析

组件/控件安全

Android组件安全

组件的访问权限控制

Activity暴露风险

Service服务暴露

Broadcast广播暴露

Content Provider暴露

ContentProvider暴露导致敏感信息泄露演示

 第一步 准备测试工具与测试样本。 测试工具：dex2jar、jd-gui、adb使用环境；测试样本：sample001.apk

 第二步 使用dex2jar与jd-gui获取测试样本APP的代码，获取代码中的ContentProvider信息

 第三步 使用adb shell来读取指定CotentProvider信息

 第四步 观察结果

Android本地数据库SQL注入

Intent隐式跳转风险

Backup备份安全

Activity界面劫持

Java调试开启风险

Release和Debug模式

数据安全

本地数据全局读写漏洞

调试信息泄露

避免测试数据残留

业务安全

HTTP/HTTPS中间人攻击

数据封包弱加密

手机验证码机制安全

用户敏感信息泄露

手势密码安全

第2节：iOS客户端常见漏洞分析

程序安全

iPA砸壳解包分析

源码头Dump安全

系统Log日志

Mach-o程序源码安全

源码字符串暴露

数据安全

敏感界面明文显示截屏安全

界面切换缓存没有模糊处理

本地数据储存安全