freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

金融證券類手機應(yīng)用安全性評測報告-文庫吧

2025-03-30 04:56 本頁面


【正文】 前,已經(jīng)將漏洞詳情告知各家廠商。 第一章 WebView安全性分析一 WebView不合理導出WebView是用于瀏覽網(wǎng)頁的控件。金融證券類應(yīng)用和銀行類應(yīng)用比較相似,應(yīng)用中并沒有包含太復(fù)雜的邏輯功能,主要功能由一個WebView提供。所以WebView也是本次分析的重點之一。對于金融證券類應(yīng)用說,一般并不需要將WebView導出給其他應(yīng)用供以調(diào)用。由于安卓系統(tǒng)中WebView相關(guān)的漏洞頻發(fā),將WebView暴露在外會面臨較大的風險。惡意程序會向暴露的WebView傳入一個惡意URL地址或惡意參數(shù),利用多個已知系統(tǒng)漏洞對其進行攻擊,導致應(yīng)用內(nèi)部敏感數(shù)據(jù)泄露。從分析結(jié)果來看,20款應(yīng)用中有2款應(yīng)用的WebView存在嚴重的安全漏洞,具體安全分析結(jié)果如下表。應(yīng)用名包名版本號已導出WebView組件個數(shù)數(shù)米基金寶2易陽指1表3 WebView安全分析結(jié)果上述應(yīng)用并沒有對導出的WebView進行任何安全性防護,黑客可以利用暴露的并且未被安全防護WebView組件進行釣魚攻擊、使用系統(tǒng)漏洞進行攻擊、應(yīng)用數(shù)據(jù)隔離繞過攻擊等方式進行惡意攻擊,從而竊取金融隱私數(shù)據(jù),劫持交易等,進而從中謀取暴利。下面對上述三種攻擊方法的原理進行驗證與說明。二 釣魚攻擊攻擊者可以向目標應(yīng)用傳入一個URL的釣魚頁面,通常為釣魚登錄頁面,該頁面將在目標應(yīng)用中顯示。用戶會誤以為應(yīng)用顯示的釣魚登錄頁面是應(yīng)用內(nèi)部的登陸界面,將賬號密碼輸入其中。而一旦用戶在釣魚登錄頁面上輸入賬號密碼,這些信息就會立即被回傳到攻擊者的服務(wù)器上,導致帳號密碼失竊。例如,使用以下指令可以對易陽指這款應(yīng)用的WebView漏洞進行釣魚攻擊驗證:。被檢測的WebView控件所插入的釣魚頁面am start n 指令輸入后,該應(yīng)用會進入如下圖的釣魚登錄頁面。圖中只是一個示例,如果將登陸界面和APP界面風格整合的更統(tǒng)一些,相信會有很多人中招。三 使用系統(tǒng)漏洞進行攻擊Android系統(tǒng)的WebView有多個已知漏洞,如遠程代碼執(zhí)行漏洞(相關(guān)CVE編號:CVE2012663CVE20141939),F(xiàn)akeID漏洞等。當開發(fā)者將WebView暴露在外,并且未對調(diào)用者進行身份認證,黑客便能通過存在漏洞的WebView對應(yīng)用進行惡意攻擊,竊取資金信息。以遠程代碼執(zhí)行漏洞為例,系統(tǒng)API addJavascriptInterface所導致的問題在Android 。被檢測的WebView漏洞檢測頁面連接以數(shù)米基金寶和易陽指這兩款應(yīng)用為例,當它們在Android ,360漏洞檢測頁面能夠通過以下方式注入到目標進程,可以檢測出暴露的 WebView接口。攻擊者可以利用所檢測出暴露的WebView接口對應(yīng)用進行完全控制。由于該漏洞的攻擊方式已經(jīng)被披露很多次,這里不再贅述,具體攻擊手段請見附錄。對數(shù)米基金寶的WebView接口檢測:am start n 被檢測的WebView漏洞檢測頁面連接對易陽指的WebView接口檢測:am start n ://**.**/****.html ez webview_default_color true同理,使用FakeID漏洞或者其他瀏覽器相關(guān)漏洞同樣有機會利用暴露的WebView接口獲得目標應(yīng)用空間內(nèi)的代碼執(zhí)行權(quán),這里不再贅述。四 應(yīng)用數(shù)據(jù)隔離繞過攻擊在Android系統(tǒng)中,不同的應(yīng)用一般情況下是不允許彼此訪問各自的私有數(shù)據(jù)文件的,但如果應(yīng)用內(nèi)置的WebView沒有禁用通過file協(xié)議加載的頁面的JavaScript執(zhí)行權(quán)限,通過向?qū)С龅腤ebView傳遞一個file協(xié)議的本地文件存儲路徑,再在這個指定的本地文件上構(gòu)造特定的JavaScript代碼,就可以讀取到被攻擊應(yīng)用的任意內(nèi)部私有文件或者是被隔離的數(shù)據(jù)。具體攻擊方法請參見附錄。截止本報告發(fā)出之時,Google尚未修復(fù)這一漏洞,大量使用WebView的應(yīng)用和瀏覽器,都有可能受到此漏洞的影響。此類攻擊通常被用于同行競爭的應(yīng)用與應(yīng)用之間,若用戶同時安裝存在競爭關(guān)系的兩款應(yīng)用,一款應(yīng)用便可通過此方式對另一款應(yīng)用進行攻擊。對于金融證券類應(yīng)用來說,被攻擊的應(yīng)用很可能被盜取應(yīng)用內(nèi)部的證券數(shù)據(jù)。經(jīng)分析發(fā)現(xiàn)數(shù)米基金寶和易陽指都不能抵抗這種類型的攻擊。下面以數(shù)米基金寶為例,通過四步攻擊過程來說明和驗證其存在應(yīng)用數(shù)據(jù)隔離繞過攻擊問題。第一步:,存儲路徑為file:///data/local /tmp/。,使用JavaScript代碼編寫一個定時器,使其在被調(diào)用之后會被定時重新加載。htmlbodyh1attack browser/h1scriptfunction loadXMLDoc(){var arm = 。var xml。if (){xml=new XMLHttp
點擊復(fù)制文檔內(nèi)容
畢業(yè)設(shè)計相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1