twitter上開到乙個討論android元件
sechema簡介:
q:在測試安卓應用時,你通常查詢的是哪類漏洞?
a:我其實尋找所有代表風險的漏洞型別。最流行的漏洞是在 webviews 或 http 庫(如 okhttp、retorfit)中因替換 url 引發的令牌洩露;通過 webviews 從所有站點竊取所有 cookie;竊取任意檔案(通過向任意 url 傳送任意檔案的 webviews、內容提供商和活動,和將受保護檔案複製到未受保護位置的活動);覆寫任意檔案(如修改原生庫時可能導致使用者資料損壞或任意**執行);本地**執行(當不存在或具有可繞過驗證的應用試圖通過不同應用的 classloaders 編碼時通常會發生這種情況,因為應用認為它們是外掛程式;另外,安卓上常常出現 apache commonscollections4 漏洞);不受保護的意圖以附加的敏感資料開始(活動以接收者開始);不安全的資料儲存(內部目錄或公開目錄中的全域性可讀標記)等。
XSS漏洞分析
網頁 客戶端 傳送請求時隱藏可自動執行的指令碼,從而使指令碼跨站執行 cross site scripeting 達到攻擊目的。由於縮寫和css衝突,故使用xss。伺服器介面 http ip port test?name aaa hobby bbb伺服器大致處理過程 string param1 re...
Zabbix 漏洞分析
之前看到zabbix 出現sql注入漏洞,自己來嘗試分析。ps 我沒找到3.0.3版本的 zabbix 暫用的是zabbix 2.2.0版本,如果有問題,請大牛指點。zabbix是乙個基於web介面的提供分布式系統監視以及網路監視功能的企業級的開源解決方案。能監視各種網路引數,保證伺服器系統的安全運...
Android重大漏洞POC
本文講的是 android重大漏洞poc,it168 資訊 上週,移動安全公司 bluebox security 研究人員聲稱發現了乙個android 嚴重漏洞,這個漏洞允許攻擊者修改應用程式的 但不會改變其加密簽名,這個漏洞從 android 1.6 開始就一直存在於android 中,影響過去 ...