Android Hacker’s Handbook中文版即将上市

年度最期待的安卓安全书-Android Hacker’s Handbook中译本《Android安全攻防权威指南》即将上市,敬请期待,本站将在上市后第一时间购买,同时与大家分享心得~

书  号
978-7-115-38570-3

出版日期
2015-03月底

页  数
394

定  价
89.00 元

状  态
正在印制

印刷方式
黑白

类  别
android 黑客 安全 Android开发

1378.611.big

“本书的主要作者是在信息安全领域浸淫多年的一流专家,三位译者也都在技术一线耕耘多年并各有卓越成就。这种全明星阵容让我对本书充满期待。”
——于旸(tombkeeper),[……]

MORE

Android UXSS阶段性小结及自动化测试

0x00 科普

WebView(网络视图)android中加载显示网页的重要组件,可以将其视为一个浏览器。在kitkat(android 4.4)以前使用WebKit渲染引擎加载显示网页,在kitkat之后使用谷歌自家内核chromium。

Uxss(Universal Cross-Site Scripting通用型XSS)UXSS是一种利用浏览器或者浏览器扩展漏洞来制造产生XSS的条件并执行代码的一种攻击类型。可以到达浏览器全局远程执行命令、绕过同源策略、窃取用户资料以及劫持用户的严重危害。

同源策略所谓同源是指,域名,协议,端口相同,浏览器或者浏览器扩展共同遵循的安全策略。详见:http://drops.wooyun.org/tips/151

0x01 事件

[……]

MORE

自己动手开发Drozer插件之AutoAttack

1、Drozer是什么

Drozer是MWR Labs开发的一款针对Android系统的安全测试框架。Drozer可以通过与Dalivik 虚拟机,以及其它应用程序的IPC端点以及底层操作系统的交互,避免正处于开发阶段,或者部署于你的组织的android应用程序和设备暴露出不可接受的安全风险。

2、Drozer的插件

关于drozer的使用这里不再赘述,网上已有文档教程,这里我们重点学习Drozer的插件模式。众所周知,Drozer不仅本身功能强大,而且提供了插件接口方便开发者自己写插件增强功能,官方也自带了几个插件,https://github.com/mwrlabs/drozer/tree/develop/src/drozer/modules,并且还提供了第三方开发者的插件http[……]

MORE

两分钟窃取身边女神微博帐号?详解Android App AllowBackup配置带来的风险

笔者在使用自己编写的Drozer模块对国内流行的安卓手机应用进行自动化扫描后发现有大量涉及用户财产和隐私的流行安卓应用存在Android AllowBackup漏洞,已测试成功受到漏洞影响的应用包括:新浪微博,百度云网盘,美团,大众点评,去哪儿等等。[……]

MORE

Android BroadcastAnywhere漏洞分析

点评:这是Baidu X-team去年发现的Android系统的一个系统权限泄露漏洞,文章对漏洞分析与讲解都很透彻,所以挖出来分享下。

1.背景

2014年8月,retme分析了Android修复的一个漏洞,并命名为launchAnyWhere[1]

在调试这个漏洞的时候,发现Settings应用还存在一个类似漏洞,并在9月报告给了Android Security Team,标题为,Privilege escalation vulnerability in settings app of android 4.0 to 4.4 (leads to phishing sms), 并且很快得到了确认,Android官方也给了致谢[2]:

wp1

这个漏洞的Android ID是17[……]

MORE

从APK解密到批量获取他人信息

点评:在挖掘Android App的web端漏洞时,遇到一些看起来安全性做的比较好的应用会对http请求也会加密,这篇文章作者就提供了一个不错的基本的解决思路:反编译获取加密方式-》解密 -》添加logcat直接输出加密的内容。

0×00.背景

APK是AndroidPackage的缩写,即Android安装包(apk)。APK是类似Symbian Sis或Sisx的文件格式。通过将APK文件直接传到Android模拟器或Android手机中执行即可安装。
本次对这个APK进行分析,通过解密加密的数据,进而发现存在越权漏洞,然后就可以批量下载其他用户的数据。
[……]

MORE

Android Service Security

点评:瘦蛟舞大牛的最新力作,相比之前几篇更为精彩,值得学习。

0x00 科普


一个Service是没有界面且能长时间运行于后台的应用组件.其它应用的组件可以启动一个服务运行于后台,即使用户切换到另一个应用也会继续运行.另外,一个组件可以绑定到一个service来进行交互,即使这个交互是进程间通讯也没问题.例如,一个service可能处理网络事物,播放音乐,执行文件I/O,或与一个内容提供者交互,所有这些都在后台进行.

UTF8[……]

MORE