阅读背景:

Android安全开发之ZIP文件目录遍历

来源:互联网 



1、ZIP文件目录遍历简介

由于ZIP紧缩包文件中许可存在“../”的字符串,攻击者可以应用多个“../”在解压时转变ZIP包中某个文件的寄存地位,笼罩掉应用原本的文件。如果被笼罩掉的文件是动态连接so、dex或odex文件,轻则发生本地谢绝服务破绽,影响应用的可用性,重则可能造成任意代码履行破绽,伤害用户的装备安全和信息安全。比如近段时光发明的“寄生兽”破绽、海豚阅读器远程命令履行破绽、三星默许输入法远程代码履行破绽等都与ZIP文件目录遍历有关。由于ZIP紧缩包文件中许可存在“../”的字符串,攻击




你的当前访问异常,请进行认证后继续阅读剩余内容。

分享到: