工具介绍

HarmonyTarget，一个专为安全培训打造的 HarmonyOS NEXT 示范应用。项目刻意实现了多种常见的移动端安全漏洞，用来演示在 ArkTS 代码中漏洞是如何产生、如何被发现以及潜在的风险点。作者：mistrainn

https://github.com/mistrainn/harmonyTarget

⚠️ 仅供教学与实验使用。 请勿将此代码用于生产环境或任何恶意活动。

漏洞场景速览

• 明文存储与日志泄露：账号密码直接写入 Preferences
• 不安全的网络通信：使用 HTTP 明文请求，缺少 TLS 保护
• ArkTS 代码中的硬编码密钥
• WebView 误用：任意 URL 加载、暴露 JS Bridge
• .so 原生库内嵌密钥（NDK 演示）
• 字符串拼接导致的 SQLite SQL 注入
• 模拟安全支付流程：截屏、防窥、输入保护等场景演练
• 导出的 SecretAbility 页面可被外部组件直接拉起

项目结构

├── AppScope/app.json5        # 全局应用信息
├── entry/                    # 主模块
│   ├── src/main/ets/pages/   # 各漏洞示例页面
│   ├── src/main/resources/   # UI 资源
│   ├── build-profile.json5   # （模板）构建配置
│   └── hvigorfile.ts         # 模块级构建脚本
├── docs/signing-setup.md     # 本地签名材料操作指南
└── hvigorfile.ts             # 应用级构建脚本

快速开始

环境要求

• DevEco Studio 5.0 及以上（HarmonyOS NEXT 工具链）
• DevEco Studio 自带的 Node.js / Hvigor 工具
• HarmonyOS NEXT 模拟器
• 使用HarmonyOS NEXT 5.0.5(17)

签名说明

仓库不会保存任何真实证书或密码。若需发布专用 HAP，请参考 docs/signing-setup.md，将个人签名信息写入本地的 build-profile.local.json5。

学习与实战建议

• 反编译生成的 HAP，尝试定位 ArkTS 和 .so 里的硬编码密钥。
• 通过代理劫持 HTTP 流量，观察未加密通信的风险。
• 在 SQLite 演示页面输入 SQL 注入 payload，体验攻击链。
• 使用 aa start -b com.example.vulnerableappdemo -a SecretAbility 手动拉起导出的能力，理解组件暴露问题。

PS

• 提供debug包，可安装到模拟器
• 真机需要自己编译

entry-default-unsigned.hap
hdc install entry-default-unsigned.hap

工具下载

https://github.com/mistrainn/harmonyTarget

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露