Android静态安全检测 -> 日志泄漏风险
2016-07-20 16:01
429 查看
日志泄漏风险 - System.out.print&
System.out.println
一、API
1. 继承关系
【1】java.lang.Object
【2】java.io.OutputStream
【3】java.io.FilterOutputStream
【4】java.io.PrintStream
2. 主要方法
【1】print
- print(int i)
- print(String s)
- print(Object obj)
- ...
【2】println
- println(char x)
- println(String x)
- println()
- println(Object obj)
- ...
【3】其他方法
https://developer.android.com/reference/java/io/PrintStream.html
二、触发条件
1. smali语句中的System.out.println形式
2. 定位print和println的位置
Ljava/io/PrintStream;->print(
Ljava/io/PrintStream;->println(
3. 方法内向上查找,System.out获取PrintStream对象
Ljava/lang/System;->out:Ljava/io/PrintStream;
三、漏洞原理
【1】使用System.out.print和System.out.println输出打印日志信息,容易泄漏敏感信息
【2】更多内容
http://drops.wooyun.org/tips/3812
四、修复建议
【1】建议删除所有使用System.out.print和System.out.println输出打印日志信息的代码
相关文章推荐
- 浅析java中print和println的区别
- 浅析Java中print、printf、println的区别
- 从零开始学Android应用安全测试
- 详解Android App AllowBackup配置带来的风险
- Android App AllowBackup配置带来的风险
- 【android安全】之防止apk被篡改后重编译。
- 【android安全】之使用ssl验证保护网络数据传输安全。
- 【android安全】之保护app组件
- 【android安全】保护app本地数据文件
- E矿大获取密码测试
- Android Security 汇总
- Android静态安全检测 -> 随机数使用不安全
- Android静态安全检测 -> allowBackup标志位
- Android静态安全检测 -> 文件任意读写
- Android静态安全检测 -> SharedPreferences任意读写
- Android静态安全检测 -> debuggable标志位
- Android静态安全检测 -> WebView明文存储密码
- Android静态安全检测 -> WebView忽略SSL证书错误检测
- Android静态安全检测 -> WebView组件远程代码执行漏洞检测
- Android静态安全检测 -> WebView系统隐藏接口漏洞检测