菜单

微信公众号:Android安全中文站

Tag: android app漏洞分析

Home 标签归档: android app漏洞分析
Home 标签归档: android app漏洞分析

傲游浏览器漏洞系列(下)- 客户端 SQL 注入和代码执行漏洞

APP漏洞挖掘 by

寻找客户端 SQL 注入漏洞 目前为止我们已经使用 catchform 方法来利用 UXSS 漏洞,但是利用暴露的 catchform 方法在 mxbrowser_default 数据库中触发客户端 SQL 注入也是可行的,这可以远程破坏数据库的完整性和机密性。 考虑到下面的代码取自 com.mx.browser.a.f 类。当域的用户名/密码行不存在时,使用参数化的 SQL 语句…

阅读全文

 

16 2016-11

傲游浏览器漏洞系列(上)- 任意文件写入,UXSS

APP漏洞挖掘 by

Maxthon Browser(傲游浏览器) 又是一个当下比较流行的 Android 浏览器,未使用Android 的 stock 浏览器(AOSP)。我在 Android 版的浏览器中发现了一些有趣的甚至有些严重的漏洞,可能导致远程代码执行和信息泄漏。 漏洞要点: 暴露的 JavaScript 接口导致任意文件写入 – 恶意网页可以强制浏览器下载zip文件,浏…

阅读全文

 

16 2016-11