계: Input Validation and Representation
입력 검증 및 표현 문제는 메타 문자, 대체 인코딩 및 숫자 표현 때문에 발생합니다. 보안 문제는 입력을 신뢰하기 때문에 발생합니다. 문제로는 "Buffer Overflows", "Cross-Site Scripting" 공격, "SQL Injection", 그 외 여러 가지가 있습니다.
Fragment Injection
Abstract
PreferenceActivity를 확장하는 Android 작업이 인스턴스화할 수 있는 조각 클래스를 제한하지 않습니다.Explanation
악성 응용 프로그램이 안전하지 않은
예제 1: 다음 코드는 예상된 조각만 로드되는지 확인하는 검사를 구현하지 않습니다.
PreferenceActivity를 실행하고 임의 클래스를 로드할 수 있도록 만들기 위해 :android:show_fragment 인텐트 엑스트라를 제공할 수 있습니다. 악성 응용 프로그램이 PreferenceActivity를 통해 취약한 응용 프로그램의 임의 Fragment를 로드할 수 있으며, 일반적으로 내보내지 않는 작업 내부에 로드되어 공격자에게 작업을 노출시킵니다.예제 1: 다음 코드는 예상된 조각만 로드되는지 확인하는 검사를 구현하지 않습니다.
@Override
public static boolean isFragmentValid(Fragment paramFragment)
{
return true;
}
References
[1] Roee Hay A New Vulnerability in the Android Framework: Fragment Injection
desc.structural.java.fragment_injection