问题标签 [mobile-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 在 Android 上的 WebView 中阻止 URL
我想阻止链接在 Webview 中加载。
代码
潜在解决方案
我不知道如何在我的代码中使用它。例如,如果我想阻止这个 url http://www.myweb.com/pepito
。我怎么能用这段代码做到这一点?谢谢你。
android - 如何处理 REST API 中的机器人
我有一个移动应用程序,用户在其中投放广告,其他用户查看并接受它。最近,我开始注意到机器人开始发布自己的广告。我有版主,但广告太多,无法检查所有内容(另一个挑战是,讨价还价会立即实时发生)。它是经典的 REST API。我用谷歌搜索了很多,令我惊讶的是找不到任何可以防止非法机器人活动的开源解决方案。您如何处理此类案件?是否有可能完全消除它,或者我只能采取一些措施让他们的生活更加困难?
python - 关于 mobSF 的 PDF 报告问题
我刚刚安装了mobSF来制作静态分析报告,但是当我点击 pdf 输出时,出现了这个错误:
终端中的错误是这样的:
我的操作系统是 mac os mojave
你能解释一下如何用 wkhtmltopdf 和 mobsf 解决这个问题吗?
ios - 如果我的 iOS 分发证书被盗用会怎样?
我是一名 iOS 新手,非常想关注我的 iOS 应用签名证书的安全性。
据我了解,恶意行为者要想滥用我泄露的分发证书,需要通过以下 3 层破解将我的应用程序的恶意版本分发给无辜的客户:
第 1 步:我的 iOS 项目源代码。让我们假设这也是通过一些弱配置的 VCS(例如 Git)泄露的
第 2 步:需要在攻击者的设备上安装分发配置文件。暂时,让我们假设这也被执行了。
第 3 步:App Store/Test Flight 权限将应用程序上传并发布到 App Store。
由于分发证书签名的应用程序无法安装在单个设备上,除非附加到特定的配置文件(例如 Ad Hoc 或 In House),因此攻击者无法实现任何目标。
这是正确的理解吗?有人可以帮助我更好地理解威胁模型吗?
android - 通过专门针对正在使用的 rootbeer 库绕过了 Android App Root 检测方法
我的 Android 应用程序使用rootbear库来检测有根设备。但是在应用安全渗透测试中,使用“ unrootbeer Xposed模块脚本”绕过了rootbear根检测机制
以下是渗透测试期间遵循的步骤:
步骤1 。在有根的 android 设备中运行应用程序以查看错误,因为它检测到有根的设备。
步骤 2. 运行 Jadx 并检查是否存在根检测机制。正如我们所见,正在使用 rootbeer 方法。
步骤 3.通过在设备中安装和激活 unrootbeer Xposed 模块脚本来运行它。
第 4 步。 现在重新启动设备并等待激活。
Step 5. 打开应用程序,绕过应用程序根检测机制。
我还检查了其他库RootTools。RootTools库是用于根检测的合适且最新的库吗?
这些是一些问题:
如何防止rootbear库root检测绕过?
混淆是否有助于防止这种绕过?
是否有任何其他可用的无法绕过的根检测库?
谷歌有没有更好的根检测实现?
security - 在开发阶段检测与 Google Security ASI 服务相同的问题
目前,如果您的 apk 具有以下一些可能以漏洞告终的漏洞/不良做法,谷歌会在发布和阻止新版本之前开始分析 apk。https://developer.android.com/google/play/asi#campaigns
我也需要开始检测这些问题以使其自动化并将它们包含在静态代码分析管道/步骤中。有人知道如何检测它吗?
问候
oauth-2.0 - 捷径 OAuth/OIDC 的风险?
我正在构建一个 OIDC/OAuth 服务器,它将提供一个 SDK,就像使用 Google 登录一样,成为移动应用程序的 IDP。我们想知道偏离协议以简化流程的风险。
流程是这样的:
- 为公司 A 设置了 OIDC 服务器。
- 用户使用 A 公司 OIDC SDK 打开 B 公司的应用程序,并输入电子邮件
- 发送到电子邮件的 Pin 挑战
- 在应用程序中输入密码,屏幕显示同意提示
- 好的,应用程序为用户获取 ID + Auth 令牌
应用程序可访问的令牌仅限于应用程序可访问的有限资源集,并且用户可以随时撤销。
这从正常的 PKCE+Auth 代码流中减少了几个步骤,我很难解释为什么这可能对安全性更不利(除了不遵循广泛接受的标准)。
ios - 当应用程序被沙盒化时,为什么 Apple 建议在 iOS 钥匙串中存储密码、机密和密钥?
我很难理解使用 iOS 钥匙串存储应用程序密码、机密和密钥的好处。这是“处理”这些数据的推荐方式,但从安全角度来看,我没有看到好处。
首先,苹果声称钥匙串可以防止其他应用程序访问钥匙串中的敏感数据。应用程序沙盒设计已经阻止了这种情况,所以我不明白为什么需要存储在钥匙串中。其次,苹果声称数据被“加密”存储在 iOS 钥匙串中,并且可以为每个钥匙串项目指定锁定/访问控制。如果用户“root”设备(越狱手机),则有一些工具可以访问 iOS 钥匙串中的全部数据,从而使钥匙串加密和访问控制变得无用。
在我看来,iOS 钥匙串所做的一切都是增加额外的开销,从安全角度来看,Apple 的应用程序沙盒和应用程序代码签名应该足以保护敏感的应用程序数据。我们应该能够简单地将敏感数据存储在 iOS 应用程序的文件系统或代码中,并依赖 Apple 的应用程序沙盒和代码签名。我错过了什么吗?
ios - 我们可以在越狱设备上检索 iphone 用户密码吗?
简单的问题,如果我们越狱设备,是否可以检索 iphone 锁屏密码?