freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用Slicer对APK文件执行信息安全侦察任务
2022-11-25 16:35:47
所属地 广西

关于Slicer

Slicer是一款功能强大的APK安全分析工具,在该工具的帮助下,广大研究人员可以轻松地对APK文件执行自动化的信息安全侦察活动。

Slicer能够接收一个提取出来的APK文件路径作为输入参数,随后Slicer便会将所有的安全侦察结果返回给研究人员,其中包括目标APK文件中所有导出并设置为null权限(可以外部调用)的Activity、Reveiver和Service信息,以及。

注意:APK文件必须通过jadx或apktool进行提取。

功能介绍

1、检测APK是否将android:allowbackup设置为true;

2、检测APK是否将android:debuggable设置为true;

3、返回所有的Activity、广播Reveiver和Service信息;

4、支持通过.json检测APK的Firebase URL(如果Firebase URL为myapp.firebaseio.com,那么Slicer则会检测https://myapp.firebaseio.com/.json是否会返回有价值的信息);

5、支持检测Google API密钥是否可以公开访问;

6、返回strings.xml和AndroidManifext.xml中的其他API密钥;

7、枚举/res/raw和/res/xml目录中的所有文件名称;

8、提取所有的URL地址和路径;

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。

首先,广大研究人员需要使用下列命令将该项目源码克隆至本地:

git clone https://github.com/mzfr/slicer

然后切换到目录下,运行下列命令即可查看Slicer的帮助信息:

cd slicer

python3 slicer.py -h

工具使用

该工具的使用非常简单,下面给出的是该工具支持的参数选项:

Extract information from Manifest and strings of an APK

 

Usage:

        slicer [OPTION] [Extracted APK directory]

 

Options:

 

  -d, --dir             jadx输出目录路径地址

  -o, --output         输出文件的文件名

工具使用

下列命令可以从APK文件中提取有价值的信息,并显示在屏幕上:

python3 slicer.py -d path/to/extact/apk -c config.json

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

Slicer:【GitHub传送门

参考资料

https://github.com/ndelphit

# 信息收集 # APK # APK分析
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录