如何用logcat查看模拟器中apk的日志_App渗透 Android应用的错误中获取漏洞

从该死的不安全和易受攻击的应用程序中获取漏洞

    Damn Insecure 漏洞App DIVA是一款漏洞App，旨在教授Android App中发现的漏洞、本文将引导你发现其中的一些漏洞。

步驟一：从这里解压缩DIVA APK档案

步驟二：使用Android Studio软体来设定Android实验室

步驟三：一旦你在模拟器上运行了DIVA应用，如果你想查看这个应用的java格式的源代码，那么在Mac或linux终端上运行jadx-gui

1. 不安全的日志记录

在Android Studio终端，访问adb命令Absolute Path。

cd ~/Library/Android/sdk/platform-tools

现在启动设备仿真器shell：./adb shell

运行ps命令，我可以看到jakhar.aseem.diva的pid是18976

现在要查看diva进程的日志，请运行以下命令。

logcat | grep 18976 或者你可以简单地运行 ./adb logcat 

正如我们所看到的那样，这个应用程序正在记录敏感信息，如果其他应用程序有这个设备日志的读取权限，他们可以访问这些信息。

2. 硬编码问题

使用jadx-gui，我可以查看Java格式的apk源代码。请注意其中的硬编码访问密钥。

3. 不安全的数据存储

        需要root-设备