首页 编程 软件学院 查看内容

Android应用安全之开发环境带来的危险

2012-10-23 14:11 972 0

摘要: 一、前言 在去年的文档《WEB2.0下的渗透测试》里提到了一点就是在2.0时代,攻击者的攻击方式是针对攻击的目标身份而变化的。对于开发人员来说,开发环境的安全问题一直是被忽视的,虽然这类问题...
关键词: nbsp Eclipse 文件 浏览器 代码 目录 开发 一个 问题 android

一、前言 在去年的文档《WEB2.0下的渗透测试》里提到了一点就是在2.0时代,攻击者的攻击方式是针对攻击的目标身份而变化的。对于开发人员来说,开发环境的安全问题一直是被忽视的,虽然这类问题提了很多年了。本文就是以andriod开发环境里编辑器的一个小问题展开的... 二、android的开发环境简介 1、安装JDK :http://www.oracle.com/technetwork/java/javase/downloads/index.html 2、安装Eclipse :http://www.eclipse.org/downloads/ 3、安装ADT插件:打开Eclipse,依次Help--->install new software-->ADD-->Location: OK">https://dl-ssl.google.com/Android/eclipse/-->OK 4、安装Android SDK 三、Eclipse的浏览器的漏洞 以上环境配置好了后,对于开发人员来说最常用的肯定就是IDE了也就是著名的编辑器Eclipse,在我使用Eclipse的过程中发现了一个小问题,那就是Eclipse的浏览器在windows下直接调用IE内核来实现的,而在非windows下使用的是WEBKit核心的浏览器。对于这样的简陋的浏览器有一个通病,那就是安全防御薄弱。具体在Eclipse里,有个致命的问题那就是,当开发者点击html文件时,默认情况下,它调用的不是编辑界面,而是浏览器里运行!而且是没有任何安全提示下通过file://伪协议下执行html文件里的javascript代码,大家都知道,可以在file://里执行js就意味着一个“跨域”漏洞可能.... 四、apk代码结构与html文件 下面是我在网络上下载的一个apk代码包,它的目录结构如下: C:\android\Test>tree /f 文件夹 PATH 列表 C:. │ .classpath │ .project │ AndroidManifest.xml │ proguard.cfg │ project.properties │ readme.htm │ ├─assets │ index.htm │ ├─bin │ ├─classes │ │ └─com │ │ └─szy │ │ └─test │ │ MainActivity.class │ │ │ ├─com │ │ └─szy │ │ └─test │ │ MainActivity.class │ │ │ └─res ├─gen ├─res │ ├─drawable-hdpi │ │ icon.png │ │ │ ├─drawable-ldpi │ │ icon.png │ │ │ ├─drawable-mdpi │ │ icon.png │ │ │ ├─layout │ │ main.xml │ │ │ └─values │ strings.xml │ └─src └─com └─szy └─test MainActivity.java 在这个代码里我看到了两处html文件: 1、./readme.htm 这个常用的代码作者提过的readme文件。 2、./assets/index.htm res目录和assets目录是存放资源文件的两个目录,不同的是/assets目录下的资源文件不会在R.java自动生成ID。  
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部