qhaaha的博客

From System Services Freezing to System Server Shutdown in Android: All You Need Is a Loop in an App 阅读笔记概述这篇文章从安卓系统进程SystemServer（SS)出发，分析了SS可能面临的DoS攻击。他们将这种攻击称作ASV——安卓中风漏洞。文章前半部分介绍系统背景知识和作者设计的ASV-HUNTER工具，为了理解方便，先跳过这两部分，从后面的几个攻击实例写起。0. 关键词一些新的关键词的概念

Attacks on WebView in the Android System阅读笔记0. 概述Attacks on WebView in the Android System是一篇以介绍为主的论文，介绍了安卓webview组件的使用情况，以及webview的使用带来的潜在安全问题。作为较早期的论文之一，这篇文章没有使用具体的漏洞攻击的例子，而是主要介绍了两种攻击可能发生的形式——通过网页（沙盒的漏洞，或帧混淆的方法），以及通过恶意的app，并分析了其可行性。作者指出如果不加监控，可以预见通过这种漏洞

TikTok for Android 1-Click RCE 原文地址：传送门作者Sayed Abdelhafiz， 需要科学。主要阅读 + 理解其漏洞探寻和利用的过程。Let’s begin!1这一部分主要提到了tiktok上的一个XSS， 什么是XSS？XSScross-site script 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。仿照别人写了两段不加防范的网页，容易被