APP漏洞利用组合拳——应用克隆案例分析
发布时间:2019-06-04 03:52:20 所属栏目:教程 来源:牛冠杰
导读:一、前言 在工作中遇到了一次Android应用克隆漏洞的案例,由于攻击过程非常有趣,综合利用了多个中低风险漏洞,产生了化腐朽为神奇的攻击效果。在此分享给大家,以扩展渗透测试思路。 二、漏洞详情 1. 漏洞介绍 攻击者可通过散布恶意构造的HTML文件,来窃
|
,发现请求成功,据此判断子域名为白名单,如图3.2所示。
图3.2 URL跳转子域名成功 3. 任意URL跳转绕过Deeplink白名单 既然子域名是白名单,那么我们可以尝试子域名一些页面的跳转功能(如/index?return=https://www.baidu.com),跳转到我们自己的页面上,从而绕过Deeplink白名单限制。 漏洞分析过程: (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
