移动应用漏洞案例1
需积分: 0 50 浏览量
2022-08-08
21:38:34
上传
评论
收藏 7.91MB DOCX 举报
移动应用漏洞案例
某视频客户端存在高危漏洞导致低版本远程代码执行
漏洞概要
漏洞作者: Moonight
提交时间: 2015-09-06 11:02
公开时间: 2015-12-05 17:16
漏洞类型: 远程代码执行
厂商定级: 高
漏洞详情
这个漏洞的最终的情况是在非 root 的设备上,我发送一个 intent,这个可以是任意应用,
就可以控制整个客户端,包括获取任意机密数据、执行相应逻辑等。
1.该客户端存在导出组件 com.xxx.gamecenter.GameWebViewActivity;
2.该组件会接收外部攻击者可控制的 intent 的 extra 参数 url;
3.我将 url 设置为自己搭建的 html,这个 html 是可以被加载执行的
剩余64页未读,继续阅读
评论0