Android应用层漏洞靶场,总结和复现一下自己学习过的漏洞。
比起其他的漏洞靶场项目,添加了复现的APP及代码。
该项目为AndroidStudio项目,可通过AndroidStudio直接导入。
项目中含有:vulnerableapp和:attackapp两个app模块,分别对应含漏洞的App和攻击的app。
具体部分还是读源码叭,每个漏洞的代码还算蛮独立的。
- Manifest安全
- Manifest中定义组件未实现漏洞
- 应用数据备份配置不当漏洞
- 应用调试模式配置不当漏洞
- 通用组件安全
- App通用型拒绝服务漏洞
- Provider组件安全
- ContentProviderURI授权不当漏洞
- ContentProvider文件目录遍历漏洞
- WebView组件安全
- 应用克隆漏洞(webview部分)
- 污染cookie任意执行漏洞
- js2native漏洞
- 网络通信安全
- HTTPS关闭主机名验证漏洞
- 自定义HostnameVerifier未验证主机名漏洞
- SSL通信信任任意服务端证书漏洞
新建了一个公众号,后续可能会更新一些本项目的漏洞应用文章🤪~
