傲遊手機瀏覽器過濾不嚴謹導致資訊洩露

2021-12-30 10:59:47 字數 293 閱讀 9040

呼叫傲遊瀏覽器開啟乙個獲取內容的頁面,在非root情況下,可獲取傲遊瀏覽器下的所有資料,包括cookie資訊等,可以盜取傳送給伺服器

可以通過乙個app釋放乙個攻擊html到sd卡上,然後該app開啟傲遊瀏覽器,執行這個檔案html檔案,路徑為file:///mnt/sdcard/hehe.html。向傲遊瀏覽器傳送請求要求開啟乙個頁面時,即可觸發

hehe.html檔案如下(如下是舉例,還可以上傳到伺服器)

修復方案:

做file域做下限制,4.0 4.2 4.3下測試都可以

pc瀏覽器模擬手機瀏覽器

很多 都通過user agent來判斷瀏覽器型別,如果是3g手機,顯示手機頁面內容,如果是普通瀏覽器,顯示普通網頁內容 谷歌chrome瀏覽器,可以很方便地用來當3g手機模擬器。在windows的 開始 執行 中輸入以下命令,啟動 谷歌瀏覽器,即可模擬相應手機的瀏覽器去訪問3g手機網頁 谷歌andr...

用谷歌瀏覽器來模擬手機瀏覽器

很多 都通過user agent 來判斷瀏覽器型別,如果是3g手機,顯示手機頁面內容,如果是普通瀏覽器,顯示普通網頁內容。谷歌chrome瀏覽器,可以很方便地用來當3g手機模擬器 在windows的 開始 執行 中輸入以下命令,啟動谷歌瀏覽器,即可模擬相應手機的瀏覽器去訪問3g手機網頁 谷歌andr...

用谷歌瀏覽器來模擬手機瀏覽器

用谷歌瀏覽器來模擬手機瀏覽器 很多 都通過user agent來判斷瀏覽器型別,如果是3g手機,顯示手機頁面內容,如果是普通瀏覽器,顯示普通網頁內容。谷歌chrome瀏覽器,可以很方便地用來當3g手機模擬器。在windows的 開始 執行 中輸入以下命令,啟動谷歌瀏覽器,即可模擬相應手機的瀏覽器去訪...