Android UXSS阶段性小结及自动化测试

0x00 科普

WebView(网络视图)android中加载显示网页的重要组件,可以将其视为一个浏览器。在kitkat(android 4.4)以前使用WebKit渲染引擎加载显示网页,在kitkat之后使用谷歌自家内核chromium。

Uxss(Universal Cross-Site Scripting通用型XSS)UXSS是一种利用浏览器或者浏览器扩展漏洞来制造产生XSS的条件并执行代码的一种攻击类型。可以到达浏览器全局远程执行命令、绕过同源策略、窃取用户资料以及劫持用户的严重危害。

同源策略所谓同源是指,域名,协议,端口相同,浏览器或者浏览器扩展共同遵循的[……]

MORE

Android Activtity Security

点评:Activity组件作为Android App四大组件中最常见的组件,它的安全性也是最为重要的,本文作者对Activity组件生命周期,两种启动方式(显式、隐式)和加载模式做了简单介绍,并对Activity组件暴露可能造成的权限提升绕过,敏感信息泄露,界面劫持,Crash,远程代码执行等安全漏洞进行详细的讲解,附加的案例都十分经典。

0x00 科普


Android每一个Application都是由Activity、Service、content Provider和Broadcast Receiver等Android的基本组件所组成,其中Activity是实现应用程序的主体,它承担了大量的显示和交互工作,甚至可以理解为一个”界面”就是一个Activity。[……]

MORE