自定义URL方案是否安全?
假设用户忘记了密码并请求了电子邮件链接以重置密码。电子邮件可能包含重置密码的URI链接。如果这是Android或iOS中注册URI方案的URI,这是安全吗?
例如,如果URI被广播到监听器应用程序,恶意应用程序是否可以使用此URI并在幕后重置原始站点用户的登录用户名和密码?
恶意应用程序可以注册接收来自任何域的链接,还是有限制? (iOS或Android)
更新:我正在谈论的深层链接是:
2 个答案:
答案 0 :(得分:2)
在Android设备上,如果使用相同的深层链接URI方案注册了多个应用程序,我相信您会收到一个选择器对话框。这允许用户选择实际用于解析深层链接URI的应用程序并完成操作:
不完全确定为什么iOS没有选择实现类似的东西,尽管我认为这是因为它有时会提供一些有点不方便和/或令人困惑的用户体验。
答案 1 :(得分:1)
在iOS中注册自定义URL方案没有任何安全性。 Apple的文档说明
如果有多个第三方应用注册处理相同的网址方案,则目前无法确定将为该方案提供哪个应用。
我不确定Android的情况如何,但我怀疑它是相似的 - 该方案只是列在清单文件中。
对于有人利用它,他们需要
- 确定您的技术& uri格式
- 制作应用程序以利用它
- 将该应用程序放入应用程序商店(进入Apple App Store更加棘手 - 该应用程序实际上必须是一个特洛伊木马,并且利用漏洞利用功能提供一些主要价值。< / LI>
- 让用户安装应用
- 等待用户忘记密码
根据我对您的问题的评论,您需要评估应用程序环境中的风险以及帐户授予的访问权限,但从表面上看,漏洞利用的可能性似乎很低
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?