IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

iOS WebView远程拒绝服务漏洞

发布时间:2016-11-19 17:00文章来源:互联网文章作者: 佚名点击次数:
近期分析一个iOS APP Crash时发现在应用内打开好友发送的URL链接时应用假死后直接挂掉。经排查确认是iOS WebViews存在远程拒绝服务漏洞,攻击者可以利用这个漏洞使打开恶意网页的应用、iOS Safari浏览器拒绝服务。这个漏洞的利用方法非常简单,攻击者可以轻

近期分析一个iOS APP Crash时发现在应用内打开好友发送的URL链接时应用假死后直接挂掉。经排查确认是iOS WebViews存在远程拒绝服务漏洞,攻击者可以利用这个漏洞使打开恶意网页的应用、iOS Safari浏览器拒绝服务。这个漏洞的利用方法非常简单,攻击者可以轻易的使用该漏洞进行攻击。

涉及设备:iPhone、iPad、iTouch

涉及系统:iOS 8.4~10.1.1

APP:支付宝 V9.9.6

漏洞危害

攻击者在调用WebViews的APP(微信、QQ、微博….)中发送恶意链接或使用其他方式诱导受害者点击链接来启动恶意页面。一旦这个页面打开你会发现页面内容加载出来后,无论你怎么点击页面,APP或Safari浏览器都没有反应,数秒后直接崩溃掉。

下面是Remote DOS APP POC,Safari浏览器的POC暂不放出。

Remote DOS APP POC:

\

在恶意html页面内嵌入JavaScript代码,看代码可知程序生成了非常长的数字并把这些数字拼接到了url中,iOS WebView在处理庞大字节URL链接出现异常导致APP崩溃。

总结

受影响的不仅仅是支付宝,很多厂商SRC遇到这样的DOS漏洞通常会以“系统问题”为由而拒收。本文仅仅是把问题抛出来,漏洞影响和是否值得修复,大家可以酌情处理。


iOS WebView远程拒绝服务漏洞
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/xitong/560195.html

标签分类:

上一篇:上一篇:没时间了,赶紧上车!教你如何在一小时之内加密你的整个数字生活
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量