- 博客(155)
- 收藏
- 关注
RSS订阅转载 (四)AndroidManifest.xml详解
我们在进行APP开发的时候都会遇到一个文件:AndroidManifest.xml。从刚开始进行Android开发,到现在已经过去了几个月,还是对这个文件一知半解,只知道它是配置用的。但是这文件里的东西具体有什么用,该怎么用一直都没有理解。借着做项目的机会,仔细研究一下这个文件。研究AndroidManifest.xml最好的方式自然就是对照着官方文档详细理解项目中每个字段的作用,并且做出一些修...
2020-01-14 16:16:47
730
转载 (三)Android 项目在Eclipse中的目录结构
Android工程目录如果使用Eclipse插件ADT开发应用程序,必须要熟悉工程的目录结构,清楚各个目录下面放置的是什么东西。Android工程主要的目录有:src、bin、gen、res等。不同的Android平台目录结构是不同的,下面以Android 2.3.3 为例介绍Android 在Eclipse 中的目录结构,下面是目录结构:这里01_项目名当然就是我们的项目名了,下面分别对...
2020-01-13 17:36:27
384
原创 (二)DDMS工具的使用和介绍
1、DDMS工作原理DDMS是IDE与测试终端的桥梁,它实时监测到测试终端的连接情况,当有新的测试终端连接后,DDMS将捕捉到终端的ID,并通过adb建立调试器,从而实现发送指令到测试终端的目的。2、DDMS主要作用1)查看特定进程中正在运行的进程,线程情况;2)查看进程中分配内存的情况;3)查看特定进程中的Logcat信息;3、DDMS启动方法DDMS 在 SDK 里面的 tool...
2020-01-10 16:48:16
2524
原创 (一)搭建Android开发环境
标题一、下载相关软件android开发环境准备工作:下载Eclipse、JDK、Android SDK、ADT插件下载地址:JDK:http://www.oracle.com/technetwork/java/javase/downloads/index.htmlEclipse:http://www.eclipse.org/downloads/Android SDK:...
2020-01-10 16:36:05
236
原创 (8)客户端app安全_webview安全风险
WebView是一个基于webkit引擎、展现web页面的控件。(1)Webview明文存储密码风险Android的Webview组件中默认打开了提示用户是否保存密码的功能,如果用户选择保存,用户名和密码将被明文存储到该应用目录databases/webview.db中。而本地明文存储的用户名和密码,不仅会被该应用随意浏览,其他恶意程序也可能通过提权或者root的方式访问该应用的webview...
2019-12-23 14:24:07
809
原创 (6)客户端app安全_进程注入,Activity/界面劫持保护
进程注入保护设法在目标APP的进程空间中执行一段代码。一般的方法是在Native层通过pTrace,让远程进程加载一个.so链接库,从而侵入目标进程空间。需要root;需要编写专门的Native测试工具;GDB也使用了类似的方法来操作远程进程。反调试技术实现复杂,一般通过加壳解决Activity/界面劫持保护在目标APP启动时,立即弹出一个假界面覆盖之。一般是通过Broadcas...
2019-12-17 14:29:06
1055
原创 (5)客户端app安全_键盘,屏幕录像
键盘记录保护常见的Android键盘记录主要依靠读取/dev/input/event0设备需要root。需要编写专门的Native测试工具键盘、触屏之类均能捕获到。也有通过注册输入法来窃听键盘的方法。屏幕录像测试即连续截屏,通过视觉反馈效果来窃听密码等敏感信息:adb shell /system/bin/screencap -p 安卓设备中的输出png路径需要root。scr...
2019-12-17 14:01:19
557
原创 通信app安全_Fiddler拦截http请求修改数据
1、拦截http请求使用Fiddler进行HTTP断点调试是fiddler一强大和实用的工具之一。通过设置断点,Fiddler可以做到:①修改HTTP请求头信息。例如修改请求头的UA,Cookie,Referer信息,通过“伪造”相应信息达到相应的目的(调试,模拟用户真实请求等)。②构造请求数据,突破表单的限制,随意提交数据。避免页面js和表单限制影响相关调试。③拦截响应数据,修改响应实...
2019-12-10 11:25:34
857
转载 安卓Hacking Part 6:调试Android应用
上一期中,我们介绍了如何用JDB调试Java应用,本期中我们将来学习如何用JDB来调试Android应用,如果某个Android应用是可以被调试的,我们就能在该应用的进程中注入并运行我们自己的代码。背景介绍未使本文更加有意思,我开发了一个简单的演示应用,只有一个按钮和一个输入框。下载:http://yunpan.cn/cf3RVN5fRRC73 (提取码:8734)运行截图如下:点击...
2019-12-04 16:27:38
226
转载 安卓Hacking:Part 5:使用JDB调试Java应用
本期将为大家演示如何使用JDB命令行工具调试Java应用,尽管本文并不会涉及Android的相关内容,但却是理解本系列下一期“寻找可调试的安卓应用”前提。什么是JDB?JDB是一个简单的Java命令行调试器,包含在JDK中。我们在本文中将会使用一台Ubuntu主机,我们可以在/usr/bin中找到JDB: #cd /usr/bin #ls | grep jdb提示:...
2019-12-04 16:01:32
201
转载 安卓Hacking Part 4:非预期的信息泄露(边信道信息泄露)
前几期中,我们讨论了与Activity,Content Provider ,Broadcast Receivers 相关的攻防,在本期中,我们将会来讨论讨论非预期的信息泄露, 也即我常常提到的所谓“边信道信息泄露”.何为非预期的信息泄露?当应用处理用户或其它数据源输入的数据时,可能会把数据放在不安全的位置,而这些数据能够被同一设备上其它的恶意应用读取,这就造成了风险。安全风险由于利用这样的...
2019-12-04 15:41:39
593
转载 安卓Hacking Part 3:Broadcast Receivers攻防
在前两篇文章中,我们讨论了攻击Activity相关组件,内容提供商泄露和防御方法。在本期的文章中,我们将讨论攻击broadcast receivers(广播接收器)。什么是broadcast receiversBroadcast receivers 是对广播接收和回应的组件。系统会发出许多广播,比如时区的改变、电量过低,图片被选中等。应用也可生成广播,比如通知其他设备一些数据已经下载完成并且可...
2019-12-04 15:18:19
224
转载 安卓Hacking Part 2: Content Provider攻防
在上一期中,我们讨论了攻击及加固Activity组件的方法,今天我们来看看所谓的”Content Provider Leakage”。什么是Content Provider?按照Google为Android设计的安全模型,应用的数据属于私有数据,故默认情况下,应用无法访问其他应用的私有数据。但当应用需要与其他应用共享数据时,Content Provider就扮演着应用间数据共享桥梁的角色。Co...
2019-12-04 14:40:57
248
转载 安卓Hacking Part 1: 应用组件攻防
随着手机应用的快速增长,手机应用安全成为了目前安全界最热门的一个话题。在这篇文章中,我们来看一下怎样攻击安卓应用组件。什么是安卓应用组件?应用组件是组成安卓应用的关键部分。每个应用都是由一个或者多个组件组成,并且每个都是单独调用。这里主要分为4个主要的组件,介绍如下:Activity: 是一个应用程序组件,提供一个屏幕,用户可以用来交互为了完成某项任务(例如打电话,发短信等)Ser...
2019-12-04 14:18:34
385
原创 (3)客户端APP安全_组件导出
1.四大组件描述Android主要包含4大组件,分别是activity组件、service组件、content provider组件和broadcast receiver组件。- Activity组件(1)一个Activity通常就是一个单独的屏幕(窗口)。(2)Activity之间通过Intent进行通信。(3)android应用中每一个Activity都必须要在AndroidMani...
2019-12-03 15:57:28
3843
原创 (4)客户端app安全_数据安全
一.APP所在目录的文件权限二.SQLite数据库文件的安全性三. Logcat日志四.敏感数据明文存储于Sdcard五.app本地数据储存
2019-11-29 11:52:28
630
原创 (2)客户端app安全_apk二次打包,签名
一,二次打包1.将反编译完的文件重新打包成apk在apktool目录下输入:java -jar apktool.jar b test(之前编译出来的文件夹)2.之后在之前的test文件下便可以发现多了2个文件夹:builddist(里面存放着打包出来的APK文件)二,对回编译的apk进行重签名(必须在java环境)1.进入所装java目录的bin文件夹。输入命令:keytool...
2019-11-28 10:54:01
604
转载 移动APP安全测试
1.移动APP安全风险分析*1.1 安全威胁分析安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。1.2 面临的主要风险1.3 Android测试思维导图1.4 反编译工具有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是...
2019-11-27 17:59:48
2724
原创 (1)客户端app安全_apk反编译
————————————————版权声明:本文为CSDN博主「xiadanying」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/xiadanying/article/details/91588369...
2019-11-25 16:12:18
400
1
原创 MonKey Runner API
链接一:https://blog.csdn.net/dengachao/article/details/99679418连接二:https://blog.csdn.net/dengachao/article/details/99681525
2019-08-16 17:30:08
144
原创 公共api接口文档
百度翻译通用APIhttp://api.fanyi.baidu.com/api/trans/product/prodinfo
2019-08-15 13:06:15
1790
原创 Jenkins自动化平台搭建
Jenkins简介Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。下载与安装下载地址:https://jenkins.io/download/下载后安装到指定的路径即可,默认启动页面为localhots:8080,如果8080端口被占用无法打开,可以进入到jenkins安装目录,找到j...
2019-08-08 15:10:49
228
原创 数据配置(Yaml)
1、在https://pyyaml.org/wiki/PyYAML中找到对应python版本和系统版本的下载包,下载后使用pip install 加上下载出来的文件的绝对路径2、直接在控制台输入pip install pyyaml...
2019-07-26 09:45:48
268
原创 多点触控放大,缩小操作
from QDDT import driverfrom appium.webdriver.common.touch_action import TouchActionfrom appium.webdriver.common.multi_action import MultiActionfrom selenium.webdriver.support.ui import WebDriverWai...
2019-07-25 17:55:19
253
原创 H5 元素定位
chromedriver与chrome的的对应版本驱动的下载地址如下:http://chromedriver.storage.googleapis.com/index.html
2019-07-24 09:34:15
349
转载 滑动操作
1、swip:通过坐标控制屏幕的滚动def swipe(self, start_x, start_y, end_x, end_y, duration=None)封装使用方法:获得机器屏幕大小x,ydef getSize(driver):x = driver.get_window_size()[‘width’]y = driver.get_window_size()[‘height’]...
2019-07-16 17:06:37
476
转载 Robot Framework 自定义库
Python版本与RF版本支持:Robot Framework 3.0 支持 Python 2.6, 2.7, 3.3及以上RF 3.1中计划不再支持 Python 2.6 and 3.3旧版本中,Robot Framework 2.5-2.8 支持Python 2.5,Robot Framework 2.0-2.1 支持Python 2.3和2.4推荐IDE:Pycharm(社区版) ...
2019-06-26 14:47:04
1724
转载 Robot Framework 常用断言
RobotFramework带有丰富的系统关键,使用时无需导入,直接使用,为写自动化用例带来了极大的方便;不能停留在知道或者是会得程度,只有熟练使用各关键字,才能提升自动化用例的写作效率。下面将逐个举例介绍:为方便讲解,首先创建三个list变量:list_a、list_b、list_c;以及两个scalar变量:string和name。@{list_a} create list ...
2019-06-25 11:13:44
2975
转载 Robot Framework 常用关键字(2-2)
(转)APPIUMLIBRARY基本操作*** Settings ***Library AppiumLibraryLibrary CollectionsLibrary StringLibrary Dialogs*** Test Cases ***打开appComment Open Application http://localhost:4723/wd/hub alias=tudo...
2019-06-25 09:22:42
340
1
转载 Robot Framework 常用关键字(2-1)
*** Settings ***Library AppiumLibraryLibrary AutoItLibraryLibrary os*** Keywords ***xpath应该匹配次数[Arguments] ${xpath} ${count}Xpath Should Match X Times ${x...
2019-06-24 10:43:13
839
转载 Robot Framework 元素定位(3-1)
RobotFramework - AppiumLibrary 之元素定位一、介绍AppiumLibrary 是 Robot Framework 的App测试库。它使用Appium 与Android 和 iOS应用程序进行通信,类似于Selenium WebDriver与Web浏览器的对话。AppiumLibrary是继承和引用appiumandroidlibrary,但重新实现使用appi...
2019-06-14 13:33:14
2181
原创 Robot Framework 元素定位(3)
Click Element xpath=//android.widget.RadioButton[contains(@text,‘我的’)] sleep 2 Comment Click Element xpath=(//android.widget.TextView)[4] Click Element xpath=//android.widget.TextView[contains(@tex...
2019-06-14 13:07:26
358
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人