谈谈安卓的Intent注入.pdf

上传者: testvaevv | 上传时间: 2021-08-07 09:00:46 | 文件大小: 4.08MB | 文件类型: PDF
neobyte – 百度X-Team成员,多年安全评估经验,主要研究Java安全、安卓安全、前端安全等。多次获得Chrome以及Android团队致谢。   Intent是安卓Java环境的一种IPC形式。Intent注入可以让APP发送我们想要的 Intent。议题归纳了几种常见的Intent注入类型,如何用工具去自动挖掘这些漏洞,并演示了几个在安卓框架层、系统级APP以及浏览器中发现的Intent注入漏洞。 目录 Intent注入的概念 Intent转换与复制 Action/Component/Data注入 PendingIntent误用 parseUri注入 总结 Intent注入漏洞,并非一个新的概念,它早就存在。它比较稀少,因此容易被忽视 归纳了Intent入 的4种形式:Intent转换与复制、 Action/Component/Data注 、PendingIntent误用与 parseUri注 入 归纳了利用自动化的工具具发现这4类形式的方法,通过批 量的扫描,可以轻易发现这些漏洞 在每种都找到了一个安卓OS或Chrome安卓版的0day,达 到本地提权或远程命令执行的效果,分别得到了Android 与Chrome的官方致谢

文件下载

评论信息

免责申明

【只为小站】的资源来自网友分享,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,【只为小站】 无法对用户传输的作品、信息、内容的权属或合法性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论 【只为小站】 经营者是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。
本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二条之规定,若资源存在侵权或相关问题请联系本站客服人员,zhiweidada#qq.com,请把#换成@,本站将给予最大的支持与配合,做到及时反馈和处理。关于更多版权及免责申明参见 版权及免责申明