Android常见漏洞介绍(1):Intent Scheme URL 攻击

最新推荐文章于 2023-08-29 23:58:20 发布
最新推荐文章于 2023-08-29 23:58:20 发布
阅读量1.3k 收藏
点赞数
文章标签: 移动开发
原文链接:http://www.cnblogs.com/yulele/p/4266668.html
版权

Android 为了增强用户体验,允许网页通过浏览器启动其他App。

Intent scheme URL可以被web page用来启动某些组件,从而导致安全威胁。例如在网页中嵌入下面的intent scheme URL:

<a href="intent://scan/#Intent;scheme=zxing;package=com.google.zxing.client.android;end"> Take a QR code </a>

可以调用设备上的com.google.zxing.client.android,扫描二维码。

 

一个好的浏览器都设置filter,对intent scheme URL生成的intent进行处理,防止不当行为。但是部分小众浏览器对filter配置不当,可能导致过滤失败。

例如qq浏览器:

http://www.wooyun.org/bugs/wooyun-2014-073875

 

 我做了一个简单的PPT介绍:

http://files.cnblogs.com/files/yulele/schemeIntentURL.pdf

转载于:https://www.cnblogs.com/yulele/p/4266668.html

weixin_34375233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android安全之Intent Scheme Url攻击分析
12-08
Intent scheme url是一种用于在web页面中启动终端app activity的特殊URL,在针对intent scheme URL攻击大爆发之前,很多android浏览器都支持intent scheme urlIntent scheme url的引入虽然带来了一定的便捷性,...
Android Studio 实验二:Intent的使用
04-25
Android开发环境中,Intent是应用间通信的重要工具,它用于启动其他组件或传递数据。本实验将深入探讨Android Studio中Intent的使用,帮助你更好地理解如何在不同的Activity之间跳转和传递信息。 首先,让我们...
Android安全之Intent Scheme Url攻击
12-09 610
0X01前言 Intent scheme url是一种用于在web页面中启动终端app activity的特殊URL,在针对intent scheme URL攻击大爆发之前,很多android浏览器都支持intent scheme urlIntent scheme url的...
Android静态安全检测 -> Intent Scheme URL 漏洞
4lwin博客
11-25 6330
Intent Scheme URL 漏洞 - parseUri方法 一、Intent scheme URL的解析及过滤 1. 利用 Intent.parseUri 解析uri,获取原始的intent对象 2. 对intent对象设置过滤规则,不同的浏览器有不同的策略 3. 通过Context.startActivityIfNeeded或者Context.star
Android安全检测-Intent Scheme URLs攻击风险
qq_35993502的博客
11-16 7703
这一章我们来学习“Intent Scheme URLs攻击风险”,网上的文章关于这个风险的介绍可谓是千篇一律,翻阅下来之后发现内容大致相同,单看这些文章的介绍仍然让人感觉到云里雾里,故此篇文章中会讲清楚这风险的产生和应对方法。 一、漏洞原理 利用intent scheme URLs(意图协议URL),可以通过web页面发送intent来启动App应用。攻击者可构造特殊格式的URL直接向系统发送意图,启动App应用的Activity组件或者发送异常数据,导致应用的敏感信息泄露或者应用崩溃。 上述的漏洞描述中可
AndroidIntent&Activity,Service,BroadcastReceiver
最新发布
02-07
Android应用开发中,Intent、Activity、Service以及BroadcastReceiver是四大核心组件,它们构成了Android应用程序的基本骨架。下面将详细介绍这四个关键概念。 1. **Intent(意图)**: IntentAndroid中扮演着...
android基础总结篇之九:Intent应用详解
09-01
总结起来,IntentAndroid中至关重要的一个概念,它是不同组件间通信的桥梁,无论是启动Activity、Service,还是发送Broadcast,Intent都在其中起到了关键作用。理解Intent的工作原理和使用方法,对开发Android应用...
Android: Intent意图 简单应用
07-11
简单的页面跳转app
com.google.zxing两个jar的包
10-17
这个是在eclipse中运用代码生成二维码的google的两个包,具体的使用方法就是吧文件中的lib文件替换一下,或者把里面的文件复制进去就可以啦
Intent Scheme URL Attack攻击模式的分析
道阻且长,行则将至。
08-29 717
本文分析了 Intent Scheme URL Attack 的历史背景和漏洞,并进一步解释了相关 API 的使用方法、近年 CVE 漏洞和当下的安全风险、利用技巧,并最后给出相应的安全建议。总而言之,开发人员在使用 parseUri 相关函数获取 Intent 对象时,需要谨慎过滤再使用!
android chrome iframe设置src属性无法启动app
weixin_30807677的博客
11-10 492
0x01 Android Intents with Chrome Android有一个很少人知道的特性可以通过web页面发送intent来启动apps。以前通过网页启动app是通过设置iframe的src属性,例如: <iframe src="paulsawesomeapp://page1"> </iframe> 此方法适用version 18或者更早版本...
关于二维码识别报错com.google.zxing.NotFoundException的解决方案
热门推荐
weixin_43919656的博客
12-05 1万+
关于二维码识别报错com.google.zxing.NotFoundException的解决方案 刚使用ZXing用来解析拍照上传的二维码内容时,最容易出现com.google.zxing.NotFoundException这个报错。 这个问题根源大概是zxing在定位二维码锚点时,因为图片 (不清晰 / 含有logo / 内容干扰元素较多 / 二维码占图片的比例较小)导致的。一般解决方法为:将图片二值化,灰度处理,然后进行开运算。这样处理后,绝大多数拍照上传的二维码均能有效地识别。图片处理代码如下: pu
Android调用第三方app(Scheme隐式以及显示调用)
Silence_Sep的博客
05-31 6666
一、隐式调用 1.第三方app:manifest中配置能接受Scheme方式启动的 &lt;activity android:name=".MainActivity"&gt;    &lt;intent-filter&gt;        &lt;action android:name="android.intent.action.VIEW" /&gt;        &lt;categor...
android 跳转到系统设置界面的所有Intent
weixin_30432579的博客
03-03 466
Intent 的 意图: Intent intent = new Inetnt(Setings); Setings: 1. ACTION_ACCESSIBILITY_SETTINGS : // 跳转系统的辅助功能界面 Intent intent = new Intent(Settings.ACTION_ACCESSIBILITY_SETTINGS); startActivity...
Intent的使用
空想少女博客
06-04 468
Intent的使用 我们最常使用的就是它的跳转Activity和在Activity之间传值的功能。 intent有隐式和显示的区分: 显式Intent定义:对于明确指出了目标组件名称的Intent,我们称之为显式Intent。 隐式Intent定义:对于没有明确指出目标组件名称的Intent,则称之为隐式Intent。 **说明:**Android系统使用IntentFilter 来寻...
Android开发实践:实战演练隐式Intent的用法
weixin_34378767的博客
03-18 276
本文通过完成一个实战任务,来掌握Android开发中隐式Intent的用法。任务:假设我们已经实现了一个视频播放器(PlayerActivity),我们希望能把它注册到系统中,当用户点击本地视频或者在线视频时,能启动这个视频播放器。(假设该类的全路径为:com.jhuster.videoplayer.PlayerActivity)[注]:本文完整的示例代码请到我的Github下载,地址:Video...
使用Intent协议在webview中跳转三方app
weixin_33924770的博客
11-14 2478
最近项目上有个需求,是关于在webview加载一个url的形式使用Intent协议跳转到指定的app页面,查看Intent源码发现Intent.parseUri()方法的第二个参数flag有三种类型: Intent.URI_ANDROID_APP_SCHEMEIntent.URI_INTENT_SCHEME 还有 URI_ALLOW_UNSAFE ;第三种不安全,一般不使用。 前俩种的格式...
检测App中是否存在Intent Scheme URL攻击漏洞
06-09
要检测App中是否存在Intent Scheme URL攻击漏洞,可以按照以下步骤进行操作: 1. 首先,你需要了解Intent Scheme URL攻击漏洞的基本原理。Intent Scheme URL攻击漏洞是指攻击者构造一个特定的URL,当用户点击该URL时,App会自动执行一些操作,例如打开一个恶意网页、发送短信、打电话等。攻击者可以利用这个漏洞进行各种攻击,例如钓鱼、恶意广告、远程控制等。 2. 然后,你需要对App进行分析,查找是否存在漏洞。你可以使用一些静态分析工具,例如AndroBugs、QARK、MobSF等,来扫描App的代码,查找是否存在Intent Scheme URL攻击漏洞。这些工具可以检测App的代码中是否存在恶意的Intent Scheme URL,从而帮助开发人员修复漏洞。 3. 另外,你还可以使用动态分析工具,例如Frida、Xposed等,来检测App在运行时是否存在漏洞。例如,你可以使用Frida来注入一个Javascript脚本到App进程中,从而监控App的行为。如果App在运行时执行了恶意的Intent Scheme URL,那么就会触发脚本中的相应操作,从而提醒开发人员存在漏洞。 4. 最后,你需要对App进行修复,修复漏洞。如果你发现App存在Intent Scheme URL攻击漏洞,那么就需要对App进行修复。具体而言,可以采取以下措施来修复漏洞: - 验证Intent Scheme URL:在App中添加验证代码,对Intent Scheme URL进行验证,确保URL来源可信。 - 防范Intent Scheme URL攻击:在App中添加防范措施,例如禁用一些敏感操作、限制Intent Scheme URL的使用等。 总之,检测App中是否存在Intent Scheme URL攻击漏洞是非常重要的。开发人员应该采取一些防范措施,来保护App的安全。同时,定期进行安全评估和测试也是必要的,以确保App中不存在安全漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值