freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

金融證券類手機(jī)應(yīng)用安全性評(píng)測(cè)報(bào)告(編輯修改稿)

2025-05-11 04:56 本頁面
 

【文章內(nèi)容簡(jiǎn)介】 Request()。}=function(){if (==4){//這里可以上傳獲取的文件內(nèi)容到遠(yuǎn)程服務(wù)器()。alert()。}}(GET,arm)。設(shè)置定時(shí)器(null)。}setTimeout(loadXMLDoc,4000)。 /script/body/html攻擊目標(biāo)本地文件存儲(chǔ)路徑第二步:執(zhí)行如下檢測(cè)代碼,致使文件中定時(shí)器開始計(jì)時(shí)。am start n :///data/local/tmp/ ez param_auto_login true所替換的數(shù)米基金寶中文件鏈接第三步:在定時(shí)器計(jì)時(shí)結(jié)束之前,代碼如下:rm ln s /data/data/此時(shí),由于WebView存在緩存機(jī)制,,即計(jì)時(shí)器仍在繼續(xù)計(jì)時(shí)。第四步:定時(shí)器到達(dá)截止時(shí)間后,讀取當(dāng)前文件的內(nèi)容并顯示在頁面中,讀取內(nèi)容如下圖:到此,我們實(shí)際上就已經(jīng)完成了一個(gè)通過外部命令,讀取數(shù)米基金寶內(nèi)部文件的過程。所以,為避免應(yīng)用內(nèi)部信息外泄,在應(yīng)用內(nèi)置的WebView通過file協(xié)議加載本地頁面時(shí),應(yīng)該禁用頁面中的JavaScript函數(shù)。 當(dāng)然,最安全的方法還是不要在應(yīng)用中導(dǎo)出WebView。 第二章 組件安全性分析Android四大基本組件分別是Activity,Service(服務(wù)),Content Provider(內(nèi)容提供者),Broadcast(廣播接收器)。這四大組件是安卓應(yīng)用的主要攻擊目標(biāo),在本次組件數(shù)據(jù)安全性測(cè)試分析中,我們首先使用模糊測(cè)試(Fuzz Testing)對(duì)Activity、Service、Broadcast這三大組件進(jìn)行自動(dòng)化分析,發(fā)現(xiàn)程序存在崩潰問題后,再針對(duì)崩潰問題進(jìn)行人工漏洞挖掘,進(jìn)一步發(fā)現(xiàn)嚴(yán)重高危漏洞。一 模糊測(cè)試模糊測(cè)試是一種通過向目標(biāo)系統(tǒng)提供非預(yù)期的輸入并監(jiān)視其異常運(yùn)行結(jié)果來發(fā)現(xiàn)軟件漏洞的方法,此方法可被用于測(cè)試Activity、Service、Broadcast這三大組件的穩(wěn)定性測(cè)試和漏洞挖掘。此次測(cè)試中共從20款應(yīng)用中掃描出77個(gè)崩潰問題,其中Activity掃描出的崩潰問題最多,占總崩潰問題總數(shù)的61%,其次是Broadcast、Service,分別占比為26%,13%。具體測(cè)試信息如下。應(yīng)用名包名版本號(hào)Activity崩潰個(gè)數(shù)Broadcast崩潰個(gè)數(shù)Service崩潰個(gè)數(shù)數(shù)米基金寶910萬得股票001隨身行100易陽指1400金太陽010益盟操盤手212投資脈搏101東方財(cái)富通441現(xiàn)金寶000廣發(fā)手機(jī)證券262和訊股票122百度理財(cái)110方正泉友通000同花順420鑫財(cái)通210招商智遠(yuǎn)理財(cái)200長江e號(hào)200手機(jī)證券極速版011盈盈理財(cái)000大智慧200表4 模糊測(cè)試結(jié)果此外,通過對(duì)自動(dòng)化結(jié)果的人工篩選,我們還發(fā)現(xiàn)了一些可利用的高危漏洞,如:本地賬號(hào)密碼泄露漏洞、功能接口暴露漏洞、大量組件暴露漏洞等。下面我們將對(duì)這些高危漏洞的原理進(jìn)行詳細(xì)介紹。 二 本地賬號(hào)密碼泄露漏洞這個(gè)漏洞來自于萬得股票。(一) 漏洞原理這個(gè)漏洞的成因是開發(fā)者對(duì)于廣播權(quán)限控制理解有誤。正確的廣播選項(xiàng)控制管理應(yīng)該是分兩步:首先定義一個(gè)廣播權(quán)限,將廣播權(quán)限中的protectLevel屬性定義為signatureOrSystem,即只有相同數(shù)字簽名的應(yīng)用程序才能申請(qǐng)?jiān)摍?quán)限。其后再注冊(cè)一個(gè)receiver,將剛剛自定義的廣播權(quán)限與receiver綁定。然而萬得股票這個(gè)應(yīng)用直接注冊(cè)了一個(gè)receiver: BroadCast。雖然開發(fā)者有意識(shí)的保護(hù)了這個(gè)廣播——receiver,但是非常遺憾
點(diǎn)擊復(fù)制文檔內(nèi)容
畢業(yè)設(shè)計(jì)相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1