请选择 进入手机版 | 继续访问电脑版

17推论坛

QQ登录

只需一步,快速开始

电力工程信息二手设备人才招聘 网上药店就选康德乐大药房,省钱又省心 网站软文代写B2B代发布贴吧知道代发布 主推网赚菠菜彩票男女科 来聊2568827348 编程助手APP随时随地免费学习编程
安徽论坛 · 记录美好生活! 广告位招租,咨询QQ:772001810 短信群发,正规短信平台 干了这杯柠檬水,喝下这碗毒鸡汤,跟我走! 广告位招租,咨询QQ:772001810
广告位招租,咨询QQ:772001810 浙江省广告制作连锁品牌 包效果网络推广宣传+Q528585868 广告位招租,咨询QQ:772001810 广告位招租,咨询QQ:772001810

[广告软文] 360显危镜免费提供“应用克隆”漏洞自动化检测服务..。

发表于 2018-5-8 18:39 | 复制链接 | 上一主题 下一主题 | 查看全部
390

近期国内多款知名手机APP被曝光存在应用克隆漏洞。攻击者利用该漏洞,可以轻松克隆用户账户,窃取隐私信息,盗取账号及资金等,国内约10%的主流APP受到漏洞影响。  足球世界杯 http://www.66666168.com/
  作为中国领先的网络安全厂商,360旗下APP从产品开发阶段就已对应用克隆攻击威胁进行全面预防,完全不受此次漏洞影响。
  针对移动应用厂商和开发者,360旗下自动化漏洞检测平台360显危镜即日起将提供免费技术援助,为大家提供Android应用克隆攻击漏洞检测服务,协助开发者修复应用克隆漏洞。
  根据360信息安全中心的评估,应用克隆漏洞攻击模型中主要涉及到两个过程,一是数据读取,二是数据复制。在数据读取过程中主要涉及到WebView的跨源攻击,因为Android沙盒的存在,两个应用之间一般情况下是不可以进行文件的相互访问,但不正确的使用WebView可能会打破这种隔离。WebView未禁用file域访问,允许file域访问http域,且未对file域的路径进行严格限制的情况下,攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取APP中包括用户登录凭证在内的所有的服务器。
  漏洞的攻击链条中,需要利用多个漏洞才能实现,因此可有多种方式截断该攻击的实现方式。针对上述几个问题,只要从任何一点截断,即可极大程度上杜绝该漏洞攻击的实现。
  修复建议:
  1.在使用Webview时,对于不需要使用file协议的应用,禁用file协议
  2.对于需要使用file协议的应用,禁止file协议调用javascript
  3.设置file域白名单,检查file域路径避免被绕过
  Android应用克隆攻击漏洞检测服务网址:
  http://appscan.360.cn/tool/
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|17推论坛 ( 皖ICP备14001855号 )

GMT+8, 2018-5-26 15:55 , Processed in 0.164063 second(s), 32 queries , Gzip On.

广告合作(9:30~19:30) | 论坛事务(9:30~17:00):

© 2001-2013 17推论坛(www.17tui.cc)

快速回复 返回顶部 返回列表