Self-Improvement

[DIVA] 8. Input Validation Issues - Part 2 본문

AOS/DIVA

[DIVA] 8. Input Validation Issues - Part 2

JoGeun 2021. 10. 31. 22:16

DIVA

diva의 8.Input Validation Issues Part 2이며 URL을 입력하면 보여주는 기능이 존재한다.

 

디컴파일

소스코드를 확인해보면 InputValidation2URISchemeActivity 클래스의 get 메소드에서 입력한 URL 값에 대한 검증이 존재하지 않는 것을 알 수 있다.

 

그리하여 URL에 내부 파일을 요청할 수 있는 file:// 형식으로 요청하게 되면 그대로 실행되어 파일 내용을 볼 수 있다.

file:///etc/hosts

'AOS > DIVA' 카테고리의 다른 글

[DIVA] 12. Hardcoding Issues - Part 2 (JNI, loadLibrary)  (0) 2021.12.21
[DIVA] 10. Access Control Issues - Part 2  (0) 2021.10.31
[DIVA] 7. Input Validation Issues - Part 1 (SQLite Database, SQLi)  (0) 2021.10.31
[DIVA] 1. Insecure Logging (adb logcat)  (0) 2021.10.31
[DIVA] 9. Access Control Issues - Part 1 (intent-filter, adb shell am)  (0) 2021.10.28
'AOS/DIVA' Related Articles more