Android APP通用型拒绝服务漏洞分析

最新推荐文章于 2024-04-22 09:09:39 发布
置顶 最新推荐文章于 2024-04-22 09:09:39 发布
阅读量962 收藏 1
点赞数
分类专栏: 移动安全之工具检查漏洞

针对序列化对象而出现的拒绝服务主要是由于应用中使用了getSerializableExtra() 的API,由于应用开发者没有对传入的数据做异常判断,恶意应用可以通过传入畸形数据,导致应用本地拒绝服务。
漏洞应用代码片段:

Intent i = getIntent();
if(i.getAction().equals("serializable_action")){
i.getSerializableExtra("serializable_key"); //未做异常判断
}

攻击应用代码片段: 
Intent i = new Intent();
i.setAction("serializable_action");
i.setClassName("com.exp.serializable", "com.exp.serializable.MainActivity");
i.putExtra("seriadddddlizable_dkey",XXX); //此处是传入畸形数据
startActivity(i);

比如XXX处传入BigInteger.valueOf(1)极有可能发生转型异常错误java.lang.ClassCastException。

但后来发现,当传入一个自定义的序列化对象Serializable或getParcelable对象时,接收Intent的目标组件在getSerializableExtra()、getParcelable()等会抛出类未定义的异常java.lang.NoClassDefFoundError。这是因为当你给漏洞应用传入一个应用本身并没有的序列化类对象,在应用上下文中肯定是找不到这个类的。
自定义的序列化类很简单:

public class DataSchema implements Serializable {
private static final long serialVersionUID = -3601187837704976264L;
public DataSchema() {
super();
}
}

对应的攻击代码中XXX处传入new DataSchema(),我们发现传入的key不管是否与漏洞应用相同,都会抛出类未定义的异常。

随着测试的深入,我们通过logcat发现,在错误日志里不一定是getSerializableExtra()、getParcelable()导致的。然后我们就延伸了下,试着向getXXXExtra()传入我们自定义的序列化类对象,发现都会抛出类未定义的异常。

测试app代码片段:

protected void onCreate(Bundle savedInstanceState) {
Intent intent = getIntent();
intent.getStringExtra("ROIS"); //此处依然会由于NoClassDefFoundError crash
}

接着我们测试了市面上大量主流应用,涵盖BAT等。发现这种方法可以通杀。我们开始觉得这个是android本身的问题,开始翻源代码。 


/frameworks/base/core/java/android/content/Intent.java
public String getStringExtra(String name) {
return mExtras == null ? null : mExtras.getString(name);
}
/frameworks/base/core/java/android/os/Bundle.java
public String getString(String key) {
unparcel(); //处理数据
...
}
/* package */ synchronized void unparcel() {
...
mParcelledData.readMapInternal(mMap, N, mClassLoader);
...
}
/frameworks/base/core/java/android/os/Parcel.java
readMapInternal解析传递进来的数据
/* package */ void readMapInternal(Map outVal, int N,
ClassLoader loader) {
while (N > 0) {
Object key = readValue(loader);
Object value = readValue(loader);
outVal.put(key, value);
N--;
}
}
最后当解析到Serializable对象时,由于加载不到类,抛出异常
public final Serializable readSerializable() {
...
try {
ObjectInputStream ois = new ObjectInputStream(bais);
return (Serializable) ois.readObject();
} catch (IOException ioe) {
throw new RuntimeException("Parcelable encountered " +
"IOException reading a Serializable object (name = " + name +
")", ioe);
} catch (ClassNotFoundException cnfe) {
throw new RuntimeException("Parcelable encountered" +
"ClassNotFoundException reading a Serializable object (name = "
+ name + ")", cnfe);
}
}


但是回头想想,谷歌肯定不是认为这是android的漏洞,开发者只要加个try catch 捕获异常就可以了。

漏洞修复:
不管是get什么extra,只要是getXXXExtra(),加上try catch捕获异常即可。


测试方法:

http://appscan.360.cn/tool/

从该网址下载supperfuzz.apk,安装到手机中,找到要测试的应用,对其各个组件进行fuzz,观察应用是否出现crash、重启等异常。



文章参考:

http://blogs.360.cn/blog/android-app%E9%80%9A%E7%94%A8%E5%9E%8B%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E6%8A%A5%E5%91%8A/

jieying_li
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android安全之WebViewUXSS漏洞
09-21
XSS是我们比较熟悉的一种攻击方式,包括存储XSS、反射XSS、DOM XSS等,但UXSS(通用XSS)另外一种不同的漏洞,主要体现在漏洞的载体和影响范围上。 XSS问题源于某一个WEB站点或应用存在安全问题,但受同源...
Android Studio JNI_NDK开发实例
11-09
- 利用NDK提供的`android_native_app_glue`,实现后台服务或后台进程的原生执行。 8. **调试技巧**: - 使用Android Studio的NDK调试功能,设置断点并跟踪原生代码。 - 使用`__android_log_print`函数进行日志...
Android App通用拒绝服务漏洞介绍
王温暖的博客
12-06 3224
Android 本地拒绝服务漏洞 漏洞:本地拒绝服务 威胁等级:中 影响版本:Android系统所有版本 漏洞描述 Android系统提供了Activity、Service和Broadcast Receiver等组件,并提供了Intent机制来协助应用间的交互与通讯,Intent负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述,Android系统则根据此Intent的描述,负责找到对应的组件,将Intent传递给调用的组件,并完成组件的调用[1]。Android应用本地拒绝服务漏洞源于
APP漏洞扫描器之本地拒绝服务检测详解
weixin_33967071的博客
10-24 272
APP漏洞扫描器之本地拒绝服务检测详解 作者:伊樵@阿里聚安全 阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测,采用的是静态分析加动态模糊测试的方法来检测,检测结果准确全面。本文将讲一下应用漏洞扫描器在针对本地拒绝服务的检测方法。 一、本地拒绝服务产生原因和影响 Android应用使用Intent机制在组件之间传递数据...
Java web应用性能分析之【漏洞/缺陷处理】
最新发布
为无为,事无事,味无味。
04-22 905
在我们的Java web应用中,存在一些安全缺陷,如果不注意,存在安全风险,应用有着被恶意攻击的风险。常见的10种如下:SQL注入攻击、XSS跨站脚本攻击、文件上传漏洞、DDOS分布式拒绝服务攻击、网站CC攻击、暴力破解、DNS查询攻击、CSRF跨站点请求伪造、RCE远程命令/代码执行攻击、信息泄露等。部分缺陷,是可以通过java代码完善来防止的。在Spring Boot中防止网络攻击通常涉及到几个方面,例如限流、认证和授权、输入验证等。
android通用拒绝服务漏洞
yuanyl的专栏
02-10 1676
漏洞的描述见链接文章:http://www.cnxhacker.com/2015/01/07/5603.html 主要的原因是使用了Intent中getSerializableExtra() 的API,如果攻击程序使用了app未定义的序列化类,该方法抛出异常,如果未捕获该异常,则导致应用不断crash。如果Activity不需要对外暴漏,则将exported置为false即可。此外,就是针对A
关于Android应用本地拒绝服务漏洞android:exported属性
CrazyApes的博客
03-16 4701
最近了项目中遇到一个Android应用本地拒绝服务漏洞的问题,第一眼看到这个玩意,我去,什么东东? 请教了下万能的度娘亲,才知道是应用本身组件对外性的一个问题。先简单说下这个漏洞。 下面漏洞介绍摘自阿里聚安全, 详见: http://jaq.alibaba.com/blog.htm?id=55 1.本地拒绝服务漏洞描述 Android系统提供了Acti
android通用拒绝服务,Android APP通用拒绝服务漏洞分析报告
weixin_42361933的博客
05-27 117
点评:记得曾经有段时间很多SRC平台被刷了大量APP本地拒绝服务漏洞(目前腾讯金刚审计系统已经可检测此类漏洞),移动安全团队发现了一个安卓客户端的通用拒绝服务漏洞,来看看他们的详细分析吧。0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类时,发现了一处通用的本地拒绝服务漏洞。该通用本地拒绝服务可以造成大面积的app拒绝服务。针对序列化对象而出现的拒绝服务主要是由于应用中使用了g...
java开源包101
07-13
PortGroper 是一款java写的开源拒绝服务测试工具,它不是僵尸网络类的ddos,而是使用大量的代理作为bots发起DDOS。Port Groper可以与用测试防火墙,干扰web 统计脚本的跟踪,为网站增加流量..往好了用什么都能干,就是...
java开源包8
06-28
PortGroper 是一款java写的开源拒绝服务测试工具,它不是僵尸网络类的ddos,而是使用大量的代理作为bots发起DDOS。Port Groper可以与用测试防火墙,干扰web 统计脚本的跟踪,为网站增加流量..往好了用什么都能干,就是...
java开源包1
06-28
PortGroper 是一款java写的开源拒绝服务测试工具,它不是僵尸网络类的ddos,而是使用大量的代理作为bots发起DDOS。Port Groper可以与用测试防火墙,干扰web 统计脚本的跟踪,为网站增加流量..往好了用什么都能干,就是...
android漏洞检测工具,安卓“超级拒绝服务漏洞分析及自动检测工具
weixin_39650784的博客
05-25 601
本帖最后由 公益 于 2015-1-7 18:14 编辑作者:360捉虫猎手研究员 0xr0ot & Xbalien“超级拒绝服务漏洞”是360安全研究人员近期发现的一个安卓通用拒绝服务漏洞,恶意攻击者可能利用此漏洞让手机中的任意应用崩溃无法正常工作,几乎影响目前市面上所有的安卓APP应用。对此360捉虫猎手开发了一个自动化的检测工具,以便开发者自查修复。“超级拒绝服务漏洞”检测工具:h...
漏洞拒绝服务
任浩的博客
12-16 1665
定义:拒绝服务呢是指通过大量的垃圾信息或干扰信息的方法,导致服务器无法向正常用户提供服务的现象 基本原理:利用用户的域名向数以千计的服务器发送请求,由于返回目标的数据远远大于请求的数据,数据过于庞大, 解析时间过短,以至于遭受到DDOS攻击,,被利用域名的服务器也至于受到瘫痪的状态 攻击原理:利用域名解析,使其服务器无法正常的运行,拒绝正常的接入 修补建议: 1、服务器请求验证时需要验证DNS用户身份 2、防火墙防御。防火墙是防御DoS攻击最有效的方法。很多厂商的防火墙都注入了专 门针对DoS攻击的功能。防
Android应用本地拒绝服务漏洞浅析
viviancheng666的专栏
08-31 2527
在对某个项目进行app应用安全评估时,被告知"  应用申明了多个可导出的Activity,可导致拒绝服务攻击",那到底什么是可导出的activity,拒绝服务攻击又是什么意思呢? 以下内容为转载,原文地址http://sec.chinabyte.com/243/13293743.shtml 1.本地拒绝服务漏洞描述     Android系统提供了Activity、Service和B
Android Kotlin intent.getStringExtra("xxx") 获取为 null 问题解决
Keep Learning , Keep Improving !
02-25 6326
使用 Anko 时遇到一个坑,Activity 获取上一个页面传过来的参数 String xxx=intent.getStringExtra("xxx") xxx 一直为 null 因为缺少 toString val xxx= et_xxx.text startActivity<MainActivity>("xxx " to xxx) 此时 xxx 是Editable 不是 St...
Android应用安全之Android APP通用拒绝服务漏洞
weixin_33832340的博客
01-23 127
0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类时,发现了一处通用的本地拒绝服务漏洞。该通用本地拒绝服务可以造成大面积的app拒绝服务。 针对序列化对象而出现的拒绝服务主要是由于应用中使用了getSerializableExtra() 的API,由于应用开发者没有对传入的数据做异常判断,恶意应用可以通过传入畸形数据,导致应用本地拒绝服务漏洞应用代码片段: Intent...
Android本地拒绝服务漏洞学习与复现
九天
04-07 5454
一、前言 本地拒绝服务一般会导致正在运行的应用崩溃,首先影响用户体验,其次影响到后台的Crash统计数据,另外比较严重的后果是应用如果是系统级的软件,可能导致手机重启。 漏洞触发前提条件: getIntent()的intent附带空数据、异常或畸形数据; 处理getXXXExtra()获取的数据时没有进行异常捕获; 二、漏洞原理 Android应用使用Int
安卓拒绝服务漏洞分析漏洞检测
aijiefu6544的博客
09-18 148
“超级拒绝服务漏洞”是一个安卓通用拒绝服务漏洞,恶意攻击者可能利用此漏洞让手机中的任意应用崩溃无法正常工作,几乎影响目前市面上所有的安卓APP应用。   漏洞分析:   0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类时,发现了一处通用的本地拒绝服务漏洞。该通用本地拒绝服务可以造成大面积的app拒绝服务。   针对序列化对象而出现的拒绝服务主要是由于应用中使用...
基于好妈妈孕期管理app需求分析.docx
05-14
设计目的和意义在于开发一款针对Android系统的孕期管理App,旨在通过智能化的方式满足孕妇的个性化需求,如提供科学的保健知识、孕期指导、产检提醒等,提升孕产妇的自我保健意识。项目背景中强调了在科技驱动下,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值