请关注我的微信公众号

參考文章:Xposed恶意插件

Android 安全专项-Xposed 劫持usernamepassword实践

0x00

我在之前的文章中演示了一下怎样通过Xposed获取usernamepassword。那篇文章的样例是我自己写的,Monkey就提议用一个大家都使用的App来试试。ok所以就有了这篇文章

0x01

我依据Xposed恶意插件这篇文章介绍的原理开发了一个Xposed Module

我这次的样例採用的是微信client740来试的,以下看效果图:

实际上我输入真实账号。登录进去也能获取到usernamepassword,详细的机制看前文的參考文章。

0x02

我这次试了市面上几个应用,当中QQ和招商银行App。获取的都是乱码,说明对这样的风险做过处理。JD商城无法获取,这个我须要在研究下,而支付宝。58App用上面的工具都能获取到usernamepassword。

0x03

此项目我选择不发布代码,所以代码的部分都没有贴。事实上这个不能算大问题,仅仅是算一个有风险的地方,重要的事实上跟QQ或者招商银行及时做出应对,当年这个文章爆出来的时候。QQ的usernamepassword也能被活动,可是如今人家已经做了防护了。可是微信作为QQ的同系,竟然没有做防护,微信比較还年轻,要做的还有非常多

0x04

兴许要做的是,分析出QQ和招商银行是怎样防护的,给出一套解决方式才是最重要的

最新文章

  1. 史上最全的Ajax基础详解
  2. 05.virsh命令的常用操作(kvm)
  3. Deep Learning 24:读论文“Batch-normalized Maxout Network in Network”——mnist错误率为0.24%
  4. 基本ASP的语法规则
  5. openjudge-最好的草
  6. class-dump获取iOS私有api
  7. Swift3.0语言教程获得一个公共的前缀
  8. Structs2中iterator的status属性的用法
  9. MyEclipse内存不足问题
  10. 20145207 《Java程序设计》第5周学习总结
  11. leetcode题1Two sum 练习
  12. [Python笔记]第九篇:re正则表达式
  13. CMD杀进程 例如:杀8080端口的进程
  14. [bzoj 1468][poj 1741]Tree [点分治]
  15. 关于Application_End 与 Application_Start事件触发情况的测试(待续)
  16. 配置javaJDK环境
  17. 17.kubernete的dashboard
  18. eclipse安装及配置pydev
  19. 笨方法学python之读写文件、open函数的用法
  20. MySql的相关资操作

热门文章

  1. Android布局属性LayoutParams的理解
  2. python--修改默认递归层级
  3. hdu2026(water~~)
  4. 【Leetcode 86】 Partition List
  5. Intent的调用
  6. Angular——表单指令
  7. JS——全选与全不选
  8. 使用doxmate生成文档
  9. Linux下清空文件的常用方法
  10. 安卓设置AttributeSet