APP渗透测试 sharedpref任意读写

本套课程在线学习（网盘地址，保存即可免费观看）地址：

链接：https://pan.quark.cn/s/3158a5a19c8b

00:00 - 安卓开发中的Shared Preferences风险讲解

在安卓开发中，Shared Preferences是一种常用的基于XML文件存储方式，用于存储配置信息和用户数据，如用户名和登录token。然而，如果开发者没有正确选择创建模式，比如使用了world readable或world writable模式，可能会导致安全风险。这些模式下，其他应用程序可以读取或写入数据，从而可能造成信息泄露或恶意利用。即使是具有root权限的用户，也能对这些文件进行无限制的读写操作。讲解通过实际例子详细探讨了这些风险，并提供指导如何避免此类问题。

02:57 - 创建项目并实现简单的登录界面功能

对话中描述了创建一个名为'shared IF'的项目，并在其中设计一个包含账号输入框、密码输入框和登录按钮的简单登录界面。通过编写代码，实现了在点击登录按钮后，将输入的账号和密码存储到本地的功能。同时，还讨论了如何通过模拟器查看存储的数据，并对代码进行了调试和修改，以确保按钮点击事件能够正确触发存储操作。

11:59 - 安卓应用程序权限管理与安全机制探讨

对话围绕安卓应用程序的权限管理及其安全机制展开，讨论了私有模式（model private）下文件的读写权限，以及不同用户组之间的访问限制。当应用程序运行时，系统会为每个APP分配一个独特的ID，限制了其他应用程序对其数据的访问，以此作为安全机制。同时，提到了如果开发者不慎将权限设置为所有人都可读（model world read more），则可能导致用户信息泄露的风险，强调了权限管理在应用开发中的重要性。最后，讨论了如何通过改变权限设置来测试和复现这些安全问题。

17:52 - 通过读取SharedPreferences泄露用户数据的风险

讨论了通过读取应用程序中的SharedPreferences可能导致用户数据泄露的风险。指出开发者在不小心将敏感信息写入可读的SharedPreferences时，可能会让这些信息被非法读取，从而威胁用户数据安全。举了支付宝将token存储在本地文件的例子，强调了这种做法的危险性。

23:33 - Android APP间数据共享安全问题探讨

对话详细讨论了在Android开发中，两个应用如何通过共享的user ID进行数据共享，特别是在登录信息共享的场景下。重点指出了在设置文件写入模式时可能出现的安全问题，例如错误地设置为readable，可能导致其他应用构造相同的share的user ID读取或写入文件。通过实际代码修改和示例，展示了如何设置正确的shared user ID和签名以实现安全的数据共享，同时也揭示了开发者在不注意安全开发的情况下可能存在的缺陷。

33:13 - 软件开发中的安全风险及预防措施

在开发过程中，应避免使用特定方式创建用于进程间通信的文件，以防止其他应用非法读取或修改。此外，需避免在文件中存储明文敏感信息，如密码，以免被攻击者利用。同时，要谨慎使用共享签名属性，以防其他应用借此访问数据。最后，强调了安全检测的重要性，以减少潜在的安全风险。如果有任何疑问，欢迎课程后留言，将会一一解答。

该内容转载自网络，仅供学习交流，勿作他用，如有侵权请联系删除。

个人微信：ivu123ivu

https://pan.quark.cn/s/8c91ccb5a474

原文始发于微信公众号（网络安全者）：APP渗透测试 -- sharedpref任意读写