Android短信越权重发漏洞测试分析

CVE-2014-8610 (此编号暂被保留) 0x1 漏洞信息 漏洞危害 无须用户交互,重发短信信箱内的任意一条或多条短信。进一步的,恶意应用可以创建一个草稿短信,然后通过这个漏洞,在无短信发送权限的情况下,将短信发送出去。 影响版本 Android 5.0以下 POC

数字证书及其在安全测试中的应用

做Web层面的安全测试,免不了要做中间人代理来截包分析。常用的工具有BurpSuit,Fiddker,Charles等等。关于这些工具的用法网上已经有很多介绍,这里就不赘述了。然而在测试一些安全性高的站点时,往往会遇到SSL通信的问题。这里对这些数字证书的问题进行一个小结,欢迎拍砖交流。

安卓WebView控件接口中的命令执行

0x01 背景 Android和IOS均支持WebView技术,封装了浏览器的基本功能,也即是在应用中嵌入了一个简单的浏览器。WebView除了显示页面之外也可以执行js代码,并且应用可以通过一些接口与js代码进行交互,js代码也可以调用这些接口,也就是调用应用的Java或者Object C代码。Android中WebView提供了一个addJavascriptInterface,将Java对象与一个JS对象联系起来。通过js代码就可能调用java代码等实现命令执行。