Обход проверок в DeepLink
Интересное видео про методику обхода проверок в механизме DeepLink на Android.
В видео рассказывается что такое DeepLink вообще, для чего они нужны, какие стандартные валидаторы применяются и как их можно обойти 😉
Ещё бы и код выложил, на котором демо проводит, вообще отлично было бы.
#Android #DeepLink #Bypass #Vulnerability
Интересное видео про методику обхода проверок в механизме DeepLink на Android.
В видео рассказывается что такое DeepLink вообще, для чего они нужны, какие стандартные валидаторы применяются и как их можно обойти 😉
Ещё бы и код выложил, на котором демо проводит, вообще отлично было бы.
#Android #DeepLink #Bypass #Vulnerability
Эксплуатация Deeplink и экспортируемых компонентов в Android
Тут подоспело отличное видео про эксплуатацию deeplink и экспортируемых компонентов в Android приложениях от @B3nac. У него очень качественный контент, интересно смотреть и читать. И это видео не стало исключением.
Основное внимание уделяется тому, как использовать экспортированные компоненты Android и Deeplink с примерами и векторами атак.
Большое спасибо, что к этому видео есть отдельно слайды и все используемые материалы!
Ну и также @B3nac автор интересного CTF, про который я упоминал раньше.
#Android #Video #Deeplink #Exported
Тут подоспело отличное видео про эксплуатацию deeplink и экспортируемых компонентов в Android приложениях от @B3nac. У него очень качественный контент, интересно смотреть и читать. И это видео не стало исключением.
Основное внимание уделяется тому, как использовать экспортированные компоненты Android и Deeplink с примерами и векторами атак.
Большое спасибо, что к этому видео есть отдельно слайды и все используемые материалы!
Ну и также @B3nac автор интересного CTF, про который я упоминал раньше.
#Android #Video #Deeplink #Exported
Разнообразие уязвимостей в deeplink и Webview
Очень часто в приложениях присутствуют уязвимости, связанные с недостаточной валидацией данных от пользователя в механизмах deeplink и WebView. Тут тебе и редиректы, XSS, чтение файлов и много других интересных вещей.
В данной статье разобраны некоторые из возможных сценариев эксплуатации таких уязвимостей, а именно CSRF и SSRF. Достаточно интересный вектор атаки с использованием мобильных приложений :)
Хотя, на мой взгляд, некоторые сценарии выглядят немного надуманно и, надеюсь, не должны встречаться в современных разработках, почитать про них всё-таки стоит. Мало ли какие приложения попадут на анализ или появятся более интересные мысли, как развить это направление дальше 😁
#Android #Deeplink #Webview
Очень часто в приложениях присутствуют уязвимости, связанные с недостаточной валидацией данных от пользователя в механизмах deeplink и WebView. Тут тебе и редиректы, XSS, чтение файлов и много других интересных вещей.
В данной статье разобраны некоторые из возможных сценариев эксплуатации таких уязвимостей, а именно CSRF и SSRF. Достаточно интересный вектор атаки с использованием мобильных приложений :)
Хотя, на мой взгляд, некоторые сценарии выглядят немного надуманно и, надеюсь, не должны встречаться в современных разработках, почитать про них всё-таки стоит. Мало ли какие приложения попадут на анализ или появятся более интересные мысли, как развить это направление дальше 😁
#Android #Deeplink #Webview
Эксплуатация уязвимостей в Deeplink и Webview
Цикл статей из двух частей (раз и два) про эксплуатацию различных проблем, связанных с технологиями deeplink и WebView.
Первая часть рассказывает о том, что такое webview, а также показывает возможность эксплуатации XSS и доступа к Java-объектам.
Вторая часть уже про диплинки и проблемы, связанные с ними. Традиционно, сначала немного теории про сами технологии и компоненты, после примеры эксплуатации уязвимостей.
Статьи неплохие, особенно радует большое количество отсылок на разные инструменты, которые помогут вам найти диплинки как в статике, так и в динамике, через Frida.
#android #deeplink #webview
Цикл статей из двух частей (раз и два) про эксплуатацию различных проблем, связанных с технологиями deeplink и WebView.
Первая часть рассказывает о том, что такое webview, а также показывает возможность эксплуатации XSS и доступа к Java-объектам.
Вторая часть уже про диплинки и проблемы, связанные с ними. Традиционно, сначала немного теории про сами технологии и компоненты, после примеры эксплуатации уязвимостей.
Статьи неплохие, особенно радует большое количество отсылок на разные инструменты, которые помогут вам найти диплинки как в статике, так и в динамике, через Frida.
#android #deeplink #webview
Justmobilesec
Deep Links & WebViews Exploitations Part I
This post focuses on finding, exploiting and understanding some common vulnerabilities in Android WebViews. Essential to this analysis are two key concepts: Static and Dynamic Analysis of Android Apps.