安卓APPActivity越权访问测试

admin
admin
admin
0
文章
0
评论
2025-12-23 01:37:47 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍了安卓APPActivity越权访问测试的方法和步骤,强调了Activity组件暴露可能导致的安全风险。文章详细讲解了如何使用drozer工具进行测试,包括环境准备、安装配置、具体测试命令和结果分析。通过实际案例演示了如何发现和验证Activity越权漏洞,并提出了将测试方法纳入安全回归流程的建议,为移动应用安全测试提供了实用指导。 综合评分: 84 文章分类: 移动安全,渗透测试,漏洞分析

cover_image

安卓APP Activity越权访问测试

赤弋安全团队

2025年12月22日 14:17 北京

以下文章来源于穹息信息安全 ,作者g&d

穹息信息安全 .

穹息信息安全测试中心 ,主要研究方向为车联网安全

  • 前言:

    在 Android 里,Activity 是应用对外呈现界面的核心组件,一次登录页、支付页、设置页的展示与交互往往都由各自的 Activity 承担。它们负责加载 UI、处理输入、启动其他组件,也因此掌握了大量敏感操作入口。一旦某个 Activity 被错误地暴露给外部应用(所谓“越权访问”),攻击者就可能绕过登录校验直接打开内部页面、窃取用户数据,甚至调用危险功能(如支付、修改配置),导致隐私泄露或资产风险。这也是对 Activity 做越权测试的重要性所在。

  • 测试机环境:

  1. Python3.8
  2. Protobuf 4.25.2 or greater
  3. Pyopenssl 22.0.0 or greater
  4. Twisted 18.9.0 or greater
  5. Distro 1.8.0 or greater
  6. Java Development Kit 11 or greater
  7. Windows11
  • 测试步骤:

1.dozer安装:

windows11下执行:pip3 install drozer

2.下载安卓系统里需要安装的agent:

https://github.com/ReversecLabs/drozer-agent/releases/latest

3.在模拟器里安装agent

4.模拟器里启动agent:

5.在windows测试机中转发端口31415,并执行drozer:

adb -s emulator-5554 forward tcp:31415 tcp:31415drozer console connect

  • drozer命令操作:

  1. list命令查看当前可用的所有模块:(drozer功能)

  2. 列出所有app包名:

  •  run app.package.list

  1. 然后找到测试的app包名: com.haibison.apksigner
  2. 查看app的详细信息(app路径、数据目录等):
   run app.package.info -a com.haibison.apksigner

  1. 查看app是否存在暴露的组件以及是否可被调试
   run app.package.attacksurface com.haibison.apksigner

可以看到一个Activity暴露。

  1. 对暴露的Activity组件进行攻击测试:
    run app.activity.info -a com.haibison.apksigner

  1. 结果返回了一个MainActivity
  2. 用命令去执行所有Activity,如果是登录后才能看到的页面,则漏洞存在
   run app.activity.start --component com.haibison.apksigner app.activities.MainActivity

  1. 这时查看虚拟机窗口呈现的app界面:

  • 总结:

借助 drozer 验证 Activity 越权漏洞的核心在于把自己当成“外部恶意应用”:先用 Manifest 分析找出可能导出的 Activity,再通过 drozer Agent 与 console 搭桥,一条条构造 am start 式的调用去尝试唤起这些界面。测试过程中要重点观察未登录或无权限状态下是否仍能访问敏感功能、窃取数据或触发高危操作,并结合日志、截屏等证据来判断漏洞是否成立。最终,将有效的脚本和结论沉淀回团队的安全回归流程,形成持续可复用的越权检测能力。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:赤弋安全团队 《安卓APP Activity越权访问测试》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0