PoC Directory

OneKey Test Page

test OneKey wallet ....

7 pages ./index.html
JWT / Bypass poc-isCancelAction.html

PoC: isCancelAction JWT Bypass

用于演示 `isCancelAction` 相关 JWT 绕过 PoC 的页面入口,保留原页面交互和调试展示能力。

Open existing page 进入页面
Google Identity get-googleesubid.html

Google Identity Inspector

用于获取和展示 Google Identity `sub` 标识信息的页面入口,适合做身份信息观察和 PoC 演示。

Open existing page 进入页面
OAuth / Redirect oauth-redirect-bypass.html

POC: OAuth redirect_to Whitelist Test

用于验证 OneKey Supabase OAuth 流程中 `redirect_to` 参数的白名单校验是否严格,可演示授权码回调与 Session 换取链路。

Open existing page 进入页面
OAuth / Security oauth-redirect-bypass2.html

OneKey OAuth Security Tester

用于测试 OneKey OAuth 相关安全场景的交互式页面,包含 provider 切换、步骤化验证和结果展示,适合补充 redirect 测试流程。

Open existing page 进入页面
Desktop / Proxy gethasDesktopApiProxy.html

PoC: desktopApiProxy Logger Upload

用于直接调用 `window.desktopApiProxy` 的开发接口,收集日志摘要并尝试触发日志包上传,适合验证远程页面是否能访问桌面特权能力。

Open existing page 进入页面
Desktop / Exposure gethasDesktopApiProxy2.html

PoC: desktopApiProxy Access

用于检查 `desktopApiProxy` 是否暴露在全局环境中,并验证版本读取、系统 API 与 secure storage 访问是否可达。

Open existing page 进入页面
WebView / Injection jsInj.html

WebView JS Injection Monitor

用于审计移动端 WebView 中的 JS 注入行为。监控 eval、定时器、DOM 变动、网络请求及原生 Bridge 通信,帮助识别潜在的安全风险。

Open existing page 进入页面
WebView / Bridge wbp.html

WebView Bridge Probe

用于验证原生 Bridge 是否暴露、是否可调用以及是否有响应。支持测试 iframe 继承、DOM 脚本注入监控,并提供自定义调用能力。

Open existing page 进入页面