Mobile AppSec World
5.29K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
И снова Path Traversal в Android-приложениях

Теперь под атакой Path Traversal оказались такие популярные приложения, как файл менеджер от Сяоми и WPS Office. Многие из нас пользуются ими или хотя бы слышали про них. При этом в Сяоми удалось выполнить произвольный код через замену .so файла.

Суть все также, что и раньше, отправляем в Intent путь к внутреннему файлу через ../../

Статья очень подробно рассказывает про этот тип атаки, объясняет причины и дает рекомендации, как не допустить такого в дальнейшем. Очень советую тем, кто хочет побольше узнать об этом типе уязвимостей.

При этом, ребята из Microsoft (те, кто обнаружил проблемы), подошли основательно, написав еще и в Google, благодаря чему появилась еще одна статья в документации (знакомо, правда @OxFi5t?).

Но скольких проблем можно было бы избежать, если использовать правильную санитизацию и валидацию.

Помните, что ваше приложение исполняется во враждебной и недоверенной среде, которую вы не можете контролировать. Написание приложения с этой аксиомой в голове поможет избежать многих ошибок!

Будьте в безопасности и хорошего кодинга :)

#android #pathtraversal #xiaomo