Android常见漏洞介绍(1):Intent Scheme URL 攻击

最新推荐文章于 2024-04-12 14:37:38 发布
最新推荐文章于 2024-04-12 14:37:38 发布
阅读量1.3k 收藏
点赞数
文章标签: 移动开发
原文链接:http://www.cnblogs.com/yulele/p/4266668.html
版权

Android 为了增强用户体验,允许网页通过浏览器启动其他App。

Intent scheme URL可以被web page用来启动某些组件,从而导致安全威胁。例如在网页中嵌入下面的intent scheme URL:

<a href="intent://scan/#Intent;scheme=zxing;package=com.google.zxing.client.android;end"> Take a QR code </a>

可以调用设备上的com.google.zxing.client.android,扫描二维码。

 

一个好的浏览器都设置filter,对intent scheme URL生成的intent进行处理,防止不当行为。但是部分小众浏览器对filter配置不当,可能导致过滤失败。

例如qq浏览器:

http://www.wooyun.org/bugs/wooyun-2014-073875

 

 我做了一个简单的PPT介绍:

http://files.cnblogs.com/files/yulele/schemeIntentURL.pdf

转载于:https://www.cnblogs.com/yulele/p/4266668.html

weixin_34375233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android安全之Intent Scheme Url攻击分析
12-08
Intent scheme url是一种用于在web页面中启动终端app activity的特殊URL,在针对intent scheme URL攻击大爆发之前,很多android的浏览器都支持intent scheme urlIntent scheme url的引入虽然带来了一定的便捷性,...
Android app漏洞挖掘初探(0)
葱花炒蛋的博客
12-13 3584
不多讲,开始吧,嗯 一 Activity漏洞挖掘 设置了exported=”true”,或者添加了属性,但是并没有显示的设置为exported=”false”,此时Activity是导出的, 不合理的Activity组件导出导致的问题: 1 基于Android Brower Intent Scheme URLs攻击手段 利用了浏览器保护措施的不足,通过浏览器去调用应用自定义的sche...
android:scheme 常用类型,Intent里跳页的模式中scheme 模式的简单使用
weixin_39766910的博客
05-26 909
Intent里跳页的模式中scheme 模式的简单使用//在一个android工程 里有2个 java文件 MainActivity 和OtherActivity//res/layout里 有2个 界面布局1、在AndroidManifest.xml清单配置 要跳转的页面2、设置要执行动作的名字 -- name="aaaaaaa"3、设置intent -- 类型 -- 这里设置默认4、设置数据的类...
android chrome iframe设置src属性无法启动app
weixin_30807677的博客
11-10 467
0x01 Android Intents with Chrome Android有一个很少人知道的特性可以通过web页面发送intent来启动apps。以前通过网页启动app是通过设置iframe的src属性,例如: <iframe src="paulsawesomeapp://page1"> </iframe> 此方法适用version 18或者更早版本...
Android安全检测-Intent Scheme URLs攻击风险
键盘的起始页
06-19 408
通过浏览器(WebView)加载URI的形式使用Intent协议跳转到指定的app页面。一般使用Intent.parseUri(String uri,int flags)方法,来构造Intent攻击者可构造特殊格式的URL直接向系统发送意图,启动App应用的Activity组件或者发送异常数据,导致应用的敏感信息泄露或者应用崩溃。通过漏洞原理可以了解到漏洞产生的原因,那么现在来了解一下和这个漏洞相关的一些知识。方法,那么必须对获取的intent进行严格过滤,intent至少包含。上述的漏洞描述中可知,
Android静态安全检测 -> Intent Scheme URL 漏洞
4lwin博客
11-25 6258
Intent Scheme URL 漏洞 - parseUri方法 一、Intent scheme URL的解析及过滤 1. 利用 Intent.parseUri 解析uri,获取原始的intent对象 2. 对intent对象设置过滤规则,不同的浏览器有不同的策略 3. 通过Context.startActivityIfNeeded或者Context.star
Intent Scheme URL Attack攻击模式的分析
道阻且长,行则将至。
08-29 549
本文分析了 Intent Scheme URL Attack 的历史背景和漏洞,并进一步解释了相关 API 的使用方法、近年 CVE 漏洞和当下的安全风险、利用技巧,并最后给出相应的安全建议。总而言之,开发人员在使用 parseUri 相关函数获取 Intent 对象时,需要谨慎过滤再使用!
Android Studio 实验二:Intent的使用
04-25
Android Studio 实验二:Intent的使用
AndroidIntent&Activity,Service,BroadcastReceiver
02-07
Android:Intent页面跳转,Activity生命周期,Service服务,广播代码实例
com.google.zxing两个jar的包
10-17
这个是在eclipse中运用代码生成二维码的google的两个包,具体的使用方法就是吧文件中的lib文件替换一下,或者把里面的文件复制进去就可以啦
android基础总结篇之九:Intent应用详解
09-01
主要介绍android基础总结篇之九:Intent应用详解,有需要的可以了解一下。
Android: Intent意图 简单应用
07-11
简单的页面跳转app
关于二维码识别报错com.google.zxing.NotFoundException的解决方案
weixin_43919656的博客
12-05 1万+
关于二维码识别报错com.google.zxing.NotFoundException的解决方案 刚使用ZXing用来解析拍照上传的二维码内容时,最容易出现com.google.zxing.NotFoundException这个报错。 这个问题根源大概是zxing在定位二维码锚点时,因为图片 (不清晰 / 含有logo / 内容干扰元素较多 / 二维码占图片的比例较小)导致的。一般解决方法为:将图片二值化,灰度处理,然后进行开运算。这样处理后,绝大多数拍照上传的二维码均能有效地识别。图片处理代码如下: pu
web页面中如何唤起打开APP
热门推荐
zzhongcy的专栏
03-15 1万+
网上看到这篇文章,写的很清楚,这里转载记录一下。H5唤起APP指南 | 拾壹小筑 1.前言 前一段时间在做电流App H5页面,需求中落地页占比较大,落地页承担的职责就是引流。引流有两种形式,同时也是我们对唤端的定义:引导已下载用户打开APP,引导未下载用户下载APP。 引导已下载用户打开APP,从数据上说用户停留在APP中的时间更多了,是在提高用户粘性;从体验上说,APP体验是要比H5好的。引导未下载用户下载APP,可以增加我们的用户量。 上面其实分...
Android根据Uri跳转Skype会话页面
qskycolor的专栏
04-19 3300
根据Skype邀请会话链接,跳转到Skype的会话页面。
Android安全之Intent Scheme Url攻击
12-09 597
0X01前言 Intent scheme url是一种用于在web页面中启动终端app activity的特殊URL,在针对intent scheme URL攻击大爆发之前,很多android的浏览器都支持intent scheme urlIntent scheme url的...
Android SharedPreference使用
weixin_45681365的博客
04-11 264
由于读取操作通常不涉及对共享资源的修改,因此它们可以相对快速地完成,并且通常不会在性能上成为一个瓶颈。通常是用来存储轻量级的配置数据,并且设计上也有一定的内存缓存机制,所以这种等待通常不会对应用程序的响应能力造成显著影响。,或者你正在操作大量数据,建议重新评估你的用例,考虑使用其他数据存储方案,比如SQLite数据库,它可以更好地处理高频率、高容量的数据操作,并提供更复杂的查询支持。是异步执行的,不会阻塞调用线程,但也需要等待实际的磁盘写操作在后台完成。不过,需要注意的是,如果一个线程在进行写操作。
Android中,TextView跑马灯(marquee)问题
最新发布
王小二的博客
04-12 419
Textiew不要设置固定高度,设置成wrap_content就好了。外面套一层Linearayout布局。文字不停回到初始位置。
检测App中是否存在Intent Scheme URL攻击漏洞
06-09
1. 首先,你需要了解Intent Scheme URL攻击漏洞的基本原理。Intent Scheme URL攻击漏洞是指攻击者构造一个特定的URL,当用户点击该URL时,App会自动执行一些操作,例如打开一个恶意网页、发送短信、打电话等。攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值