Обход проверок в DeepLink
Интересное видео про методику обхода проверок в механизме DeepLink на Android.
В видео рассказывается что такое DeepLink вообще, для чего они нужны, какие стандартные валидаторы применяются и как их можно обойти 😉
Ещё бы и код выложил, на котором демо проводит, вообще отлично было бы.
#Android #DeepLink #Bypass #Vulnerability
Интересное видео про методику обхода проверок в механизме DeepLink на Android.
В видео рассказывается что такое DeepLink вообще, для чего они нужны, какие стандартные валидаторы применяются и как их можно обойти 😉
Ещё бы и код выложил, на котором демо проводит, вообще отлично было бы.
#Android #DeepLink #Bypass #Vulnerability
Эксплуатация Deeplink и экспортируемых компонентов в Android
Тут подоспело отличное видео про эксплуатацию deeplink и экспортируемых компонентов в Android приложениях от @B3nac. У него очень качественный контент, интересно смотреть и читать. И это видео не стало исключением.
Основное внимание уделяется тому, как использовать экспортированные компоненты Android и Deeplink с примерами и векторами атак.
Большое спасибо, что к этому видео есть отдельно слайды и все используемые материалы!
Ну и также @B3nac автор интересного CTF, про который я упоминал раньше.
#Android #Video #Deeplink #Exported
Тут подоспело отличное видео про эксплуатацию deeplink и экспортируемых компонентов в Android приложениях от @B3nac. У него очень качественный контент, интересно смотреть и читать. И это видео не стало исключением.
Основное внимание уделяется тому, как использовать экспортированные компоненты Android и Deeplink с примерами и векторами атак.
Большое спасибо, что к этому видео есть отдельно слайды и все используемые материалы!
Ну и также @B3nac автор интересного CTF, про который я упоминал раньше.
#Android #Video #Deeplink #Exported
YouTube
Exploiting Android deep links and exported components - Ekoparty Mobile Hacking Space Talk
This talk will gives a brief introduction about essential tools, the Android ecosystem, and methodology. The main focus is on how to exploit exported Android components and deep links with examples provided to demonstrate exploit concepts and attack vectors.…
Разнообразие уязвимостей в deeplink и Webview
Очень часто в приложениях присутствуют уязвимости, связанные с недостаточной валидацией данных от пользователя в механизмах deeplink и WebView. Тут тебе и редиректы, XSS, чтение файлов и много других интересных вещей.
В данной статье разобраны некоторые из возможных сценариев эксплуатации таких уязвимостей, а именно CSRF и SSRF. Достаточно интересный вектор атаки с использованием мобильных приложений :)
Хотя, на мой взгляд, некоторые сценарии выглядят немного надуманно и, надеюсь, не должны встречаться в современных разработках, почитать про них всё-таки стоит. Мало ли какие приложения попадут на анализ или появятся более интересные мысли, как развить это направление дальше 😁
#Android #Deeplink #Webview
Очень часто в приложениях присутствуют уязвимости, связанные с недостаточной валидацией данных от пользователя в механизмах deeplink и WebView. Тут тебе и редиректы, XSS, чтение файлов и много других интересных вещей.
В данной статье разобраны некоторые из возможных сценариев эксплуатации таких уязвимостей, а именно CSRF и SSRF. Достаточно интересный вектор атаки с использованием мобильных приложений :)
Хотя, на мой взгляд, некоторые сценарии выглядят немного надуманно и, надеюсь, не должны встречаться в современных разработках, почитать про них всё-таки стоит. Мало ли какие приложения попадут на анализ или появятся более интересные мысли, как развить это направление дальше 😁
#Android #Deeplink #Webview
Эксплуатация уязвимостей в Deeplink и Webview
Цикл статей из двух частей (раз и два) про эксплуатацию различных проблем, связанных с технологиями deeplink и WebView.
Первая часть рассказывает о том, что такое webview, а также показывает возможность эксплуатации XSS и доступа к Java-объектам.
Вторая часть уже про диплинки и проблемы, связанные с ними. Традиционно, сначала немного теории про сами технологии и компоненты, после примеры эксплуатации уязвимостей.
Статьи неплохие, особенно радует большое количество отсылок на разные инструменты, которые помогут вам найти диплинки как в статике, так и в динамике, через Frida.
#android #deeplink #webview
Цикл статей из двух частей (раз и два) про эксплуатацию различных проблем, связанных с технологиями deeplink и WebView.
Первая часть рассказывает о том, что такое webview, а также показывает возможность эксплуатации XSS и доступа к Java-объектам.
Вторая часть уже про диплинки и проблемы, связанные с ними. Традиционно, сначала немного теории про сами технологии и компоненты, после примеры эксплуатации уязвимостей.
Статьи неплохие, особенно радует большое количество отсылок на разные инструменты, которые помогут вам найти диплинки как в статике, так и в динамике, через Frida.
#android #deeplink #webview
Justmobilesec
Deep Links & WebViews Exploitations Part I
This post focuses on finding, exploiting and understanding some common vulnerabilities in Android WebViews. Essential to this analysis are two key concepts: Static and Dynamic Analysis of Android Apps.