MASTG-APP-0014: InsecureShop

InsecureShop 是一个有意设计的 Android 应用程序,它展示了各种漏洞,旨在教育开发者和安全专家关于现代 Android 应用中常见的陷阱。它作为一个动态平台,用于提升 Android 渗透测试技能。

这些漏洞中的大多数可以在非 root 设备上被利用,这会给远程用户和恶意第三方应用程序带来风险。值得注意的是,该应用程序不使用任何 API。InsecureShop 提供了一个探索一系列漏洞的机会

  • 硬编码凭据:代码中嵌入的登录凭据。
  • URL 验证不足:允许通过 Deeplinks 加载任意 URL。
  • 任意代码执行:允许从第三方包执行代码。
  • 访问受保护的组件:允许第三方应用启动安全组件。
  • 不安全的广播接收器:注册一个广播以启用 URL 注入。
  • 不安全的内容提供程序:可访问的内容提供程序使用户数据面临风险。

为了补充这些学习体验,InsecureShop 提供了关于已实现漏洞及其相关代码的文档。然而,这些文档并没有为 InsecureShop 应用中展示的每个漏洞提供完整的解决方案。