アプリ名 | 04画像投稿 |
アプリの概要 | 端末内の画像ファイルを外部のサイトへアップロードし、他のアプリ利用者と画像の共有を行うアプリを想定しています。 |
アプリを使用するメリット | 利用者はこのアプリを利用する事で、画像をアップロードし、他の利用者とコミュニケーションを図ることができるようになります。 |
主な動作 | 最初に認証画面を表示して利用者のID、パスワードの入力を得ます。 その後、入力された値を使って認証を行い、認証完了後に投稿画像選択画面に遷移して画像のアップロードを行います。 |
サンプルアプリの実装範囲 | 本アプリはサンプルのため、ID、パスワードの入力を受け取りますが、入力された値に対するチェック、および認証処理を行いません。認証を通過した想定で次の投稿画像選択画面へ遷移します。
また、画像のアップロードの処理に関しても実際には行いません。 |
サンプルアプリ内の脆弱性 | 開発者はandroid:exported属性にtrueを設定した場合、他の全てのアプリからそのActivityへアクセス可能となるということを理解せずにtrueを設定してしまったという想定です。
|
サンプルアプリは、以下の環境で動作するように作成されています。
サンプルアプリをビルドするためにはAndroid2.2(API Level 8) のSDKがインストールされている必要があります。 実行環境の準備を行い、サンプルプロジェクトをビルド・実行してみましょう。 準備ができていない場合はこちらを参考に準備を行ってください。 |
---|
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
アプリ名 | 04画像投稿スパイ |
攻撃者の目的 | 「04画像投稿」アプリの機能を悪用し、端末内の画像を不正にアップロードします。 |
攻撃方法 |
|
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |