新闻链接：c05K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3x3K6b7J5x3o6k6Q4x3X3g2Z5N6r3#2D9
新闻时间：2014-05-13
新闻正文：
移动互联网无疑是当今的热门，很多的安全从业者和安全公司也纷纷把目光投向了移动安全，下面的漏洞就是一个例子。

随着移动互联网的发展，发生在移动端的安全威胁的次数和精密程度也随之提高。特别是针对于android平台的攻击，一个成功利用的expoilt就可以影响到成千上万的用户。而针对android用户，恶意的黑客最常使用的手段就是直接在热门APP中植入危险的javascript代码。

新加坡安全研究员Jeremy S在Feedly android APP上就发现了可以插入javascript代码的严重安全缺陷。

Feedly是一个支持anroid和ios的热门应用，他会整合blog，website，RSS Feeds 和一些期刊杂志的信息。Jeremy S发现的漏洞在blog post之中，他可以将javascript代码注入到APP之中而引发XSS攻击。

通过执行javascript，攻击者可以实施不同的攻击手法，比如，cookie盗取恶意页面包含，在受害者手机中植入恶意代码，等等。

Jeremy S放出了POC,这个POC会在受害者的浏览器中显示一个按钮

</script>
<button onclick=”location.href=’f42K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8G2N6r3g2F1N6r3W2S2L8r3I4&6i4K6u0V1L8h3q4D9K9h3y4A6L8%4g2K6i4K6u0W2M7$3W2@1k6g2!0q4x3W2)9^5x3q4)9&6z5g2!0q4x3W2)9^5x3q4)9&6c8l9`.`. id=”1″ value=”1″/>BreakToProtect’s Button
<but

[培训]科锐逆向工程师培训第53期2025年7月8日开班！