标签归档:socket

随便写点跟测试有关的东西

1. androidmanifest.xml文件中,选项为false时也不一定代表组件是不可以利用的,比如socket场景。 (各种安全示例里写的全部是错误的。) 2. netstat -anb | grep listen 确认存在后,除了可以检测数据是否明文外,还可以往该地址的该端口发送超大数据确认是否存在溢出。 3. 高度封装后的url可以使用IDA的text search功能提取(ipk,ipa),指望内置http server前端返回locahost格式访问做url hidden甚至是安全防御,如果不对原地址做调用/访问控制和漏洞修复,你的策略就是失败的。

发表在 Android | 标签为 , , , , , | 留下评论