LazyValue下的Parcel漏洞

背景介绍

在安卓13以前，Parcel作为一个非常广泛的攻击面，曾出现过大量反序列化漏洞，详情可参考文章Android 反序列化漏洞攻防史话（https://evilpan.com/2023/02/18/parcel-bugs/）。其核心原理是，利用Parcelable对象在序列化和反序列化过程中的读写不匹配，在第一次反序列化过程中隐藏掉intent对应的

一	二	三	四	五	六	日
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

背景介绍

留言 取消回复

留言取消回复