Android安全开发之ZIP文件目录遍历

1、ZIP文件目录遍历简介

ZIP压缩包文件中允许存在“../”的字符串,攻击者可通过精心构造ZIP文件,利用多个“../”从而改变ZIP包中某个文件的存放位置,覆盖替换掉应用原有的文件。如果被覆盖掉的文件是是可.so文件、dex文件或者odex文件,轻则产生本地拒绝服务漏洞,影响应用的可用性,重则可能造成任意代码执行漏洞,危害应用用户的设备安全和信息安全。比如“寄生兽”漏洞,海豚浏览器远程命令执行漏洞,三星默认输入法远程代码执行等。

阿里聚安全的应用漏洞扫描器,可以检测出应用的ZIP文件目录遍历风险,并有完整的修复方案。另外我们还发现日本计算机应急响应小组(JPCERT)给出的修复方[……]

MORE