你的位置:首页 > 软件开发 > 操作系统 > Android安全开发之ZIP文件目录遍历

Android安全开发之ZIP文件目录遍历

发布时间:2016-06-23 15:00:10
1、ZIP文件目录遍历简介ZIP压缩包文件中允许存在“../”的字符串,攻击者可通过精心构造ZIP文件,利用多个“../”从而改变ZIP包中某个文件的存放位置,覆盖替换掉应用原有的文件。如果被覆盖掉的 ...

Android安全开发之ZIP文件目录遍历

1、ZIP文件目录遍历简介

ZIP压缩包文件中允许存在“../”的字符串,攻击者可通过精心构造ZIP文件,利用多个“../”从而改变ZIP包中某个文件的存放位置,覆盖替换掉应用原有的文件。如果被覆盖掉的文件是是可.so文件、dex文件或者odex文件,轻则产生本地拒绝服务漏洞,影响应用的可用性,重则可能造成任意代码执行漏洞,危害应用用户的设备安全和信息安全。比如“寄生兽”漏洞,海豚浏览器远程命令执行漏洞,三星默认输入法远程代码执行等。

阿里聚安全的应用漏洞扫描器,可以检测出应用的ZIP文件目录遍历风险,并有完整的修复方案。另外我们还发现日本计算机应急响应小组(JPCERT)给出的修复方案存在缺陷,容易使用不当(它提供的示例文档就使用错误),可能起不到防止ZIP文件目录遍历的作用。

 

2、漏洞原理和风险示例


原标题:Android安全开发之ZIP文件目录遍历

关键词:Android

*特别声明:以上内容来自于网络收集,著作权属原作者所有,如有侵权,请联系我们: admin#shaoqun.com (#换成@)。

可能感兴趣文章

我的浏览记录