我完全不熟悉JavaScript,但是我正在執行一個Android安全漏洞測試here。下載後自動打開JavaScript文件
我正在查找可以在完成下載時打開HTML文件的JavaScript代碼。我試圖找到它,但我得到的JavaScript下載文件的結果不匹配。
我將不勝感激一些代碼或暗示在哪裏可以找到它。
我完全不熟悉JavaScript,但是我正在執行一個Android安全漏洞測試here。下載後自動打開JavaScript文件
我正在查找可以在完成下載時打開HTML文件的JavaScript代碼。我試圖找到它,但我得到的JavaScript下載文件的結果不匹配。
我將不勝感激一些代碼或暗示在哪裏可以找到它。
因此,這裏是它是如何做:
您重定向到其供應與內容標題導致瀏覽器下載它作爲一個HTML文件,而不是使其的html文件。然後,您將瀏覽器重定向到已下載到SD卡的文件。
重定向是通過在JavaScript中使用setTimeout()
完成的。
此漏洞的Metasploit的模塊的完整的源代碼可以在這裏找到適合您的測試:
測試或黑客的腳本? – mrtsherman
這是我對android安全性的學術研究。我只是檢查一些攻擊來證明這是可能的。不過,我從來沒有使用過JavaScript。 – k4b
我猜想安全問題必須由於使用WebViews,它允許您使用通過本地應用程序控制的JavaScript。本地應用程序可以訪問SD卡,也可以訪問Web。 – scrappedcola