配套实验资源

一、实验目标

1. 理解并掌握常见移动应用漏洞注入类型和攻击方式；

2. 对提供的应用进行逆向分析，发现可注入漏洞点；

3. 能够构建恶意攻击应用和网页代码，实现Intent注入和WebView注入攻击。

二、前置准备

1. 理论知识学习

进行本实验前请先完成教材第7章的学习，主要包括7.2节WebView注入攻击和Intent注入攻击。

2. 实验环境

• Android Studio开发环境

• 安卓设备或安卓模拟器（本实验要求保持系统完整性，不得通过动态插桩方式篡改目标程序）

• Jadx逆向工具

• Python等可以简易部署网页服务器的环境

三、任务描述

任务1 注入点发现

通过逆向分析，分析其中Intent调用过程。同时分析WebView的相关代码，找到限制条件和注入点。

任务2 Intent注入攻击

根据Intent的调用过程，便携式一应用，使被攻击应用可以自动跳转至其他网页。

任务3 WebView注入攻击

编写网页，并设计JavaScript代码，使其跳转至指定网页后，自动执行相关JavaScript代码，并弹出指定内容的Toast，实现攻击。注，本实验要求保持系统完整性，不得通过动态插桩方式篡改目标程序。

四、结果提交形式

1. lab5_code.zip：本次实验中的实验代码，包括

• Intent注入攻击的Activity代码

• WebView注入攻击的网页代码

2. lab5.docx：本次实验的实验报告，包括实验环境配置、实验步骤、实验结果和实验心得等内容

五、评分标准

1. 完成任务1（10%）：可以分析出Intent调用和WebView的具体过程，可以找到注入点

2. 完成任务2（20%）：编写一个恶意应用，实现Intent注入，使被攻击应用跳转至指定网页

3. 完成任务3（40%）：完成恶意网页的设计，在任务2的基础上，使其跳转之后可以输出指定的Toast信息

4. 实验报告（30%）：

• 内容完整性和原创性（20%）

• 报告包含实验目的、详细步骤、结果、总结思考等关键部分

• 代码设计遵循代码规范，有必要的解释说明

• 报告撰写和表达（10%）

• 报告格式规范，语言表达清晰

• 能够适当使用图表等辅助说明报告内容

六、附件内容说明

1. InjectionLab.apk：包含任务1所需的安卓APK文件