【移動應用開發(fā)技術】AndroidManifest.xml中含蓋的安全問題詳解_第1頁
【移動應用開發(fā)技術】AndroidManifest.xml中含蓋的安全問題詳解_第2頁
【移動應用開發(fā)技術】AndroidManifest.xml中含蓋的安全問題詳解_第3頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

【移動應用開發(fā)技術】AndroidManifest.xml中含蓋的安全問題詳解

0x00關于AndroidManifest.xmlAndroidManifest.xml是每個android程序中必須的文件。它位于整個項目的根目錄,Manifest文件提供有關應用程序到Android系統的基本信息,系統必須具有該信息才能運行任何應用程序的代碼。換句話說APP是跑在Android系統上,既然要跑在其上,就必須提供信息給AndroidSystem,這些信息就存在AndroidManifest中。AndroidManifest.xml存放在app/src/main/目錄下。在反編譯APK文件后,其文件是以亂碼格式存在,需要進行轉換才能正常查看。AndroidManifest.xml的主要功能0x01AndroidManifest.xml風險點分析1、allowBackup設置風險AndroidAPILevel8(Android2.1)及其以上Android系統提供了為應用程序數據的備份和恢復功能,此功能的開關決定于該應用程序中AndroidManifest.xml文件中的allowBackup屬性值,其屬性值默認是true。當allowBackup的屬性值沒有顯示設置為false時,攻擊者可通過adbbackup和adbrestore來進行對應用數據的備份和恢復,從而可能獲取明文存儲的用戶的敏感信息。

android:allowBackup=["true"|"false"]

android:allowBackup=["true"|"false"]2、debuggable設置風險該屬性用于指定應用程序是否能夠被調試,即使是以用戶模式運行在設備上的時候,如果設置為true,則可以被調試;但是現在Android版本均默認debuggable的屬性值為false,所以建議使用默認配置。

android:debuggable=["true"|"false"]

android:debuggable=["true"|"false"]3、組件導出風險四大組件可導出的組件能被第三方APP任意調用,導致敏感信息泄露,并可能被利用于繞過認證、惡意代碼注入、sql注入、拒絕服務等攻擊;Activity中exported的默認值而intentfilter標簽代表是主Activity,而每個APP都會有一個主Activity,所以當應用的Activity不必要導出時,或者配置了intentfilter標簽,建議顯示設置android:exported="false"。如果組件必須要導出給其他應用使用,建議對組件進行權限控制。BroadcastReceive和Service的默認值都跟Activity的一樣。ContentProvider中exported的默認值當minSdkVersion或者targetSdkVersion小于16時,默認為true大于17時,默認為false4、自定義權限風險在Android系統的安全模型中,應用程序在默認的情況下不可以執(zhí)行任何對其他應用程序、系統或用戶帶來負面影響的操作。如果應用需要執(zhí)行某些操作,就需要聲明使用這個操作對應的權限,也就是在AndroidManifest.xml文件中添加<uses-permission>標記,當然也可以自定義屬于自己的permission。但是如果權限控制不當,那么就可能導致各種越權等安全問題。0x02AndroidManifest.xml結構0x03AndroidManifest.xml分節(jié)介紹1、manifest2、application3、activity4、intent-filter5、meta-data6、activity-alias7、service8、receiver9、provider10、uses-library11、supports-screens12、uses-configuration和uses-feature13、uses-sdk14、instrumentation15、<permission>、<uses-permission>、<permission-tree/>、<permission-group/>區(qū)別最常用的當屬<uses-permission>,當我們需要獲取某個權限的時候就必須在我們的manifest文件中聲明,此<uses-permission>與<application>同級,具體權限列表請看此處通常情況下我們不需要為自己的應用程序聲明某個權限,除非你提供了供其他應用程序調用的代碼或者數據。這個時候你才需要使用<permission>這個標簽。很顯然這個標簽可以讓我們聲明自己的權限。比如:那么在activity中就可以聲明該自定義權限了,如:當然自己聲明的permission也不能隨意的使用,還是需要使用<uses-permission>來聲明你需要該權限<p

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論