neobyte – 百度X-Team成员,多年安全评估经验,主要研究Java安全、安卓安全、前端安全等。多次获得Chrome以及Android团队致谢。 Intent是安卓Java环境的一种IPC形式。Intent注入可以让APP发送我们想要的 Intent。议题归纳了几种常见的Intent注入类型,如何用工具去自动挖掘这些漏洞,并演示了几个在安卓框架层、系统级APP以及浏览器中发现的Intent注入漏洞。
目录
Intent注入的概念
Intent转换与复制
Action/Component/Data注入
PendingIntent误用
parseUri注入
总结
Intent注入漏洞,并非一个新的概念,它早就存在。它比较稀少,因此容易被忽视
归纳了Intent入 的4种形式:Intent转换与复制、 Action/Component/Data注 、PendingIntent误用与 parseUri注 入
归纳了利用自动化的工具具发现这4类形式的方法,通过批 量的扫描,可以轻易发现这些漏洞
在每种都找到了一个安卓OS或Chrome安卓版的0day,达 到本地提权或远程命令执行的效果,分别得到了Android 与Chrome的官方致谢
2021-08-07 09:00:46
4.08MB
简要分享在过去在安全公司给金融、运营商客户做移动客户端安全评估、到现在做游戏客户端安全测试的区别、方法及经验(Android为主)
大纲
1 背景
2 传统移动客户端测试
3 移动游戏客户端测试
4 除了测试还能做什么
2021-08-07 09:00:37
1.79MB
In this talk, we would like to present some recent advances of one of our ongoing project on secure and robust Android development. By leveraging the well-established technique of symbolic execution, this project aims to harden Android programmers' toolkit with much advanced testing tools
2021-08-07 09:00:35
287KB
移动互联网的发展为信息安全带来了巨大的挑战,本议题旨在和大家一起讨论我们应该如何面对无孔不入的安全问题,并分析当前移动安全产品的防护效果
目录
账号安全问题
移动安全问题
交易安全问题
2021-08-07 09:00:35
984KB
移动互联网发展迅猛,移动安全当何去何从?本议题旨在和大家一起讨论当前非常热门的移动应用加固技术,并对比当前多家企业安全加固产品的优劣
Overview
| Why ?
| What ?
| But ...
| How ?
2021-08-07 09:00:34
320KB
移动互联网的蓬勃发展使我们迎来了一个没有时间、空间甚至硬件限制的新网络时代,但挑战也随着而来;只有对移动应用实现轻量级全程保护才能实现移动互联网时代
目录
背景
移劢应用安全三战法
加固、密信、风控
总结
2021-08-07 09:00:33
1.26MB
本文件依据 本文件依据 本文件依据 GB/T AAAAA《信息安全技术 《信息安全技术 《信息安全技术 《信息安全技术 信息系统密码应用基本要求》 信息系统密码应用基本要求》 信息系统密码应用基本要求》 信息系统密码应用基本要求》 信息系统密码应用基本要求》 信息系统密码应用基本要求》 信息系统密码应用基本要求》 信息系统密码应用基本要求》 和 GM/T BBBB《信息系统密码应用测评要求》 《信息系统密码应用测评要求》 《信息系统密码应用测评要求》 《信息系统密码应用测评要求》 《信息系统密码应用测评要求》 《信息系统密码应用测评要求》 ,对信息系统的密码应用情况给出定量评估结果。 ,对信息
2021-08-05 11:46:48
833KB
1
本报告是XXXXX系统的密码应用安全性评估报告。
本报告评估结论的有效性建立在被测单位提供相关证据的真实性基础之上。
本报告中给出的评估结论仅对被测信息系统当时的安全状态有效。被测信息系统发生变更后,应重新对其进行评估,本报告不再适用。
本报告中给出的评估结论不能作为对被测信息系统内部署的相关系统构成组件(或产品)的评估结论。
在任何情况下,若需引用本报告中的评估结果或结论都应保持其原有的意义,不得对相关内容擅自进行增加、修改和伪造或掩盖事实。
2021-08-05 11:38:41
282KB
1