Android 安全 —— 本地拒绝服务漏洞

最新推荐文章于 2024-06-07 15:21:05 发布
最新推荐文章于 2024-06-07 15:21:05 发布
阅读量1k 收藏
点赞数
分类专栏: Android 文章标签: Android 安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starhosea/article/details/88104720
版权
本文探讨了Android应用中本地拒绝服务漏洞的问题。当Activity、Service、BroadcastReceiver或ContentProvider的export属性设为true时,恶意攻击者可能通过发送畸形Intent造成程序崩溃。危害在于攻击者能轻易利用此漏洞,防范措施包括将内部使用的组件设为non-exported,处理Intent时增加数据验证和异常处理,以及为exported组件添加权限控制。
摘要由CSDN通过智能技术生成

概述

Activity / Service / BroadcastReceiver / ContentProvider 的 export 设置为 true 时,攻击者可以向这些组件发送畸形 Intent 。

<activity android:name=".demo.DemoActivity"
		  android:export="true"
		  ....

危害

攻击者可以轻易地向Activity等发送自己的 Intent ,如果 Intent 携带空数据,或则畸形数据等,如果 Activity 内部处理接收到的 Intent 没有进行格式格式校验或者异常捕获,造成程序崩溃。

class DemoActivity extends BaseActivity {
   
	 @Override
  	 protected void onCreate(
最低0.47元/天 解锁文章
Star丶Xing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过kail实现拒绝服务漏洞
susu1031的博客
03-30 562
实验名称:拒绝服务漏洞 实验环境:kail,windows2003 实验报告: 1、两台虚拟机在设置在同一局域网 查看ip 2、在kail系统打开wireshark 网络分析器 3、使用抓包软件 wireshark 可以用来捕获网络流量 比如打开火狐 4、可以打开一个百度 5、获取百度ip 可以ping www.baidu.com ...
移动安全学习笔记——组件安全之Activity组件漏洞挖掘
0nc3的博客
02-25 1620
0x00 简介 ACtivity因组件不合理地导出,可能会产生以下安全风险: 越权绕过 信息泄露 钓鱼欺诈 拒绝服务 0x01 越权绕过漏洞 1、应用场景 在一些业务场景中,某些界面包含敏感数据需要验证后才能查看,但是由于该敏感信息的Activity是导出的,无权限验证,则攻击者无需输入验证信息即可绕过权限查看敏感信息。 2、利用方法 (1)直接启动敏感界面 (2)通过启动主界面的子界面再返回,达到启动主界面效果 (3)通过设置本地密码的Activity,重置密码 3、防护 私有Activity,不
Android 安全开发之 exported 组件安全
最新发布
特立独行的博客
06-07 1035
Android exported 组件是一种强大的工具,可以使应用之间共享功能和数据。然而,如果exported组件的安全措施没有得到妥善实现,则可能会导致严重的安全漏洞
安卓拒绝服务漏洞分析及漏洞检测
weixin_34216196的博客
09-18 206
  “超级拒绝服务漏洞”是一个安卓通用型拒绝服务漏洞,恶意***者可能利用此漏洞让手机中的任意应用崩溃无法正常工作,几乎影响目前市面上所有的安卓APP应用。  漏洞分析:  0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞。该通用型本地拒绝服务可以造成大面积的app拒绝服务。  针对序列化对象而出现的拒绝服务主要是由于应用...
Android应用本地拒绝服务漏洞浅析
宝爷的专栏
04-08 2414
1.本地拒绝服务漏洞描述       Android系统提供了Activity、Service和Broadcast Receiver等组件,并提供了Intent机制来协助应用间的交互与通讯,Intent负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述,Android系统则根据此Intent的描述,负责找到对应的组件,将Intent传递给调用的组件,并完成组件的调用[1]。And
android 拒绝服务漏洞,Android 应用本地拒绝服务漏洞浅析
weixin_36331058的博客
05-25 543
1.本地拒绝服务漏洞描述Android 系统提供了 Activity、Service 和 Broadcast Receiver 等组件,并提供了 Intent 机制来协助应用间的交互与通讯,Intent 负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述,Android 系统则根据此 Intent 的描述,负责找到对应的组件,将 Intent 传递给调用的组件,并完成组件的调用。Andro...
CVE-2021-1280:拒绝服务漏洞可以导致Android信息应用崩溃
linjingyg的博客
01-16 495
  前言   有时我们都会收到一些有趣的表情包GIF,但是,如果这个GIF会导致你的Android信息应用崩溃呢?   近期,趋势科技向Google报告了一个拒绝服务漏洞,而这种漏洞正好可以做到这一点,甚至更多。这个漏洞目前已被CVE收录为CVE-2022-0780,我们通过测试,确定这个漏洞影响最新的Nexus和Pixel设备。这个漏洞允许攻击者非法远程发送一个恶意构造的包含畸形数据的彩信,导致受害者Android信息应用崩溃。即使设备/系统在安全模式下重启或启动,应用程序也无法从崩溃中恢复。...
android漏洞检测工具,Android漏洞检测——模糊测试
weixin_31119221的博客
05-25 1014
前言Android在目前的市场上占有率很高,用户数量庞大,而在该平台下的应用程序开发成本低,开发难度低,发布容易,缺少监管和审查,导致大量低质量App流入市场,这些App由于开发者缺乏安全编程技能或缺乏测试和审查,可能存在着一些严重的漏洞,对用户的隐私以及财产安全造成巨大风险。因此,移动应用尤其是Android平台下的应用的开发应该对此引起高度重视。Android常见漏洞越权绕过:没有对调用act...
网络空间安全——总结
热门推荐
LinYuan
09-10 1万+
1 绪论 课程目标: 系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。 课程重点: 勾勒网络空间安全的框架。 课程内容安排: 安全法律法规 物理设备安全 网络攻防技术 恶意代码及防护 操作系统安全 无线网络安全 数据安全 信息隐藏 隐私保护 区块链 物联网安全 密码学基础 网络空间安全概念由来 欧洲信息安全局:网络空间安全和信息安全概...
Android 应用之安全开发
Android_SE的博客
09-16 1506
大佬:“这个 APP 破解下,可以兼容客户已出货的产品” 我:“这个不合适吧” 大佬:“这个客户对我们很重要” 我:“好吧” 然后,就是通过反编译某 APP ,分析蓝牙交互协议,在新的 APP 中去兼容已出货的设备,达到无缝对接。 –这种场景在开发中还是比较经常碰到的。 一、引言 随着移动互联网向社会生活的各个领域渗透,APP 的使用越来越广泛。但 Android 系统由于其开源的属性,市场...
拒绝服务攻击实验
08-01
布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行......
android app渗透测试-Activity、Service
LJFYYJ的博客
08-02 1894
android Activity、Service的部分攻击面介绍;通过aidl接口调用解题的CTF实例
Android本地拒绝服务漏洞学习与复现
九天
04-07 5500
一、前言 本地拒绝服务一般会导致正在运行的应用崩溃,首先影响用户体验,其次影响到后台的Crash统计数据,另外比较严重的后果是应用如果是系统级的软件,可能导致手机重启。 漏洞触发前提条件: getIntent()的intent附带空数据、异常或畸形数据; 处理getXXXExtra()获取的数据时没有进行异常捕获; 二、漏洞原理 Android应用使用Int
android 拒绝服务漏洞,Android APP通用型拒绝服务漏洞分析报告
weixin_39713538的博客
05-25 144
0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞。该通用型本地拒绝服务可以造成大面积的app拒绝服务。针对序列化对象而出现的拒绝服务主要是由于应用中使用了getSerializableExtra() 的API,由于应用开发者没有对传入的数据做异常判断,恶意应用可以通过传入畸形数据,导致应用本地拒绝服务漏洞应用代码片段:Intent i = g...
Android App通用型拒绝服务漏洞介绍
王温暖的博客
12-06 3275
Android 本地拒绝服务漏洞 漏洞类型:本地拒绝服务 威胁等级:中 影响版本:Android系统所有版本 漏洞描述 Android系统提供了Activity、Service和Broadcast Receiver等组件,并提供了Intent机制来协助应用间的交互与通讯,Intent负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述,Android系统则根据此Intent的描述,负责找到对应的组件,将Intent传递给调用的组件,并完成组件的调用[1]。Android应用本地拒绝服务漏洞源于
DoS本地拒绝服务攻击
不忘初心,护天下安全!
11-24 2769
拒绝服务攻击 拒绝服务攻击(Denial of Service)并非一种具体的攻击方式,针对信息安全的六大要求也并非机密性、完整性、访问控制或是身份验证,而是针对本世纪才进行重视的可用性。因为它通过系统程序和应用程序的漏洞和网络协议实现中的缺陷实现内存损耗或带宽损耗,达到使服务器不能正常地对外界提供服务的目的。 在拒绝服务攻击的过程中,攻击者不需与目标交互,因为可伪造源ip地址,也难以进行追踪...
漏洞拒绝服务
任浩的博客
12-16 1695
定义:拒绝服务呢是指通过大量的垃圾信息或干扰信息的方法,导致服务器无法向正常用户提供服务的现象 基本原理:利用用户的域名向数以千计的服务器发送请求,由于返回目标的数据远远大于请求的数据,数据过于庞大, 解析时间过短,以至于遭受到DDOS攻击,,被利用域名的服务器也至于受到瘫痪的状态 攻击原理:利用域名解析,使其服务器无法正常的运行,拒绝正常的接入 修补建议: 1、服务器请求验证时需要验证DNS用户身份 2、防火墙防御。防火墙是防御DoS攻击最有效的方法。很多厂商的防火墙都注入了专 门针对DoS攻击的功能。防
Android应用安全漏洞:任务关联与Intent风险
"深入理解Android应用程序中的潜在安全漏洞" 在Android应用程序开发中,由于开发者对系统的不熟悉或疏忽,往往会导致一系列的安全问题。这些问题可能源于各种编程错误或配置不当,从而给用户数据和整个系统带来风险...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值