app安全测试-平台和数据存储不当使用

说明

• 接着上篇文章app安全测试-逆向工程继续学习

平台使用不当

• 开发写代码的调试信息中，经常可能会有一些敏感的信息被打印出来，比如用jd-gui查看下如下内容：
  

  image.png

• 既然是查看日志，也可以采用直接如IDE+监控LogCat的方式
  

  image.png

• 还有一种方式，其实就是adb logcat 过滤日志的方式，也是可行的

不安全的数据存储

• 下载diva apk 解压后把apk文件安装到雷电模拟器上

• 用模拟器打开apk

  
  image.png
  image.png

• 用jd-gui 打开代码分析，发现使用了sharepreference 存信息到本地
  

  image.png

• 用adb 进入到shell，找到shared_prefs，最终使用cat jakhar.aseem.diva_preferences.xml 查看到敏感的信息内容

adb shell
cd /data/data/jakhar.aseem.diva

osp:/data/data/jakhar.aseem.diva # ls
cache  code_cache  databases  lib  shared_prefs
osp:/data/data/jakhar.aseem.diva # cd shared_prefs
aosp:/data/data/jakhar.aseem.diva/shared_prefs # ls
jakhar.aseem.diva_preferences.xml
osp:/data/data/jakhar.aseem.diva # cat  jakhar.aseem.diva_preferences.xml

<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
    <string name="user">hello</string>
    <string name="password">word</string>
</map>
at jakhar.aseem.diva_preferences.xml                                          <
<?xml version='1.0' encoding='utf-8' standalone='yes' ?>
<map>
    <string name="user">hello</string>
    <string name="password">word</string>
</map>