android安全 报告,Android安全检测报告

1.高危 Intent Scheme URL攻击

详情:恶意页面可以通过Intent scheme URL执行基于Intent的攻击

建议:将Intent的component/selector设置为null

2.高危 WebView应用克隆风险

详情:APP使用WebView访问网络,当开启了允许JS脚本访问本地文件,一旦访问恶意网址,存在被窃取APP数据并复制APP的运行环境,造成“应用克隆”的后果,可能造成严重的经济损失。

建议:建议禁用setAllowFileAccessFromFileURLs和setAllowUniversalAccessFromFileURLs;若需要允许JS访问本地文件,则应使用白名单等策略进行严格的访问控制。

3.高危 不安全Zip文件解压

详情:zip压缩包中的文件名中可以包含“/”所以如果文件名字是包含多个“../”就会造成文件被恶意放置,覆盖掉APP原有的文件

建议:对 ZipEntry.getName() 字段进行 ../ 筛查

4.高危 进程注入

详情:Android 系统使用的是 Linux 内核,进程间是弱相互作用,可以在应用进程空间内创建线程来加载自定义的 .so 文件,也就是进程注入。具体的实现依赖于 linux 下的 ptrace() 函数,将客户端进程作为我们自定义进程的子进程,操作客户端进程的寄存器和内存,来运行加载自定义的 .so 文件,将 .so 链接到客户端进程,最后让客户端进程的执行流程跳转到自定义的.so。总结来讲,如果Android 客户端没有对进程进行有效的保护,攻击者就可以向从 Native 层面向客户端进程远程加载任意 .so 链接库,从而侵入客户端进程的进程空间,以搜索、篡改敏感内存或干涉客户端的执行过程。

建议:1、ptrace 附加失败。2、修改 linker 中的 dlopen 函数,防止第三方 so 加载。3、定时检测应用加载的第三方 so 库,如果发现是被注入的 so,卸载加载的 so

5.高危 服务端证书弱校验

详情:使用HTTPS协议时,客户端必须验证服务器是真实合法的目标服务器。Android默认的HTTPS证书验证机制不接受不可信的连接,因而是安全的,但Android允许开发者重定义证书验证方法。当自定义的X509TrustManager类,未检查证书是否合法时,会存在客户端与仿冒服务器通讯的风险,可能导致账号、密码等敏感信息被窃取,甚至通信内容被篡改。

建议:利用X509TrustManager子类中的checkServerTrusted函数,校验服务器端证书的合法性

6.中危 WebView同源策略绕过

详情:JavaScript的延时执行能够绕过file协议的同源检查,从而够访问受害应用的所有私有文件。通过WebView对Javascript的延时执行,将当前Html文件删除掉并软连接指向其他文件就可以读取到被符号链接所指的文件,然后通过JavaScript再次读取HTML文件,即可获取到被符号链接所指的文件。恶意应用通过该漏洞,可在无特殊权限下盗取应用的任意私有文件。比如浏览器应用存在此漏洞,可获取到的信息,包括但不限于,保存的密码、Cookie、收藏夹以及历史记录等。

建议:1、不必要导出的组件设置为不导出,建议显式设置所注册组件的“android:exported”属性为false。2、对于需要导出包含WebView的组件,建议禁止使用File域协,webView.getSettings. setAllowFileAccess(false)。3、如需使用File域协议,建议禁止File域协议调用JavaScript,webView.getSettings. setJavaScriptEnabled(false)

7.中危 隐式Intent劫持

详情:APP使用隐式的Intent,存在被恶意三方APP钓鱼的风险

建议:尽量使用显式Intent

8.中危 残留URL

详情:APP 中残留开发或测试阶段使用的 URL 地址时,存在被攻击者当做攻击目标的风险。

建议:移除APP 中的 URL 地址 。

9.中危 动态注册BroadcastReceiver风险

详情:APP使用动态BroadcastReceiver时,未对广播增加权限控制,可以被任意外部应用访问,存在数据泄漏或是越权调用等风险

建议:在AndroidManifest.xml文件中声明广播权限,在注册广播时限制相同的action应用够使用此广播。

10.中危 不安全哈希算法

详情:android系统提供Hash算法签名重要数据,当应用使用MD5/SHA-1计算重要数据的哈希值时,更容易遭到碰撞攻击。攻击者利用碰撞攻击的方式,逆向获取Hash签名的重要数据

建议:使用SHA-256哈希算法

11.中危 主机名弱校验

详情:使用HTTPS协议时,客户端必须验证服务器是真实合法的目标服务器。Android默认的HTTPS证书验证机制不接受不可信的连接,因而是安全的,但Android允许开发者重定义证书验证方法。当自定义的HostnameVerifier类,未检查证书中的主机名与使用该证书的服务器的主机名是否一致或被配置为接受任何服务器主机名时,会存在客户端与仿冒服务器通讯的风险,可能导致账号、密码等敏感信息被窃取,甚至通信内容被篡改。

建议:利用HostnameVerifier子类中的verify函数,校验服务器主机名的合法性

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/445728.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

android定时循环,Android AlarmManager实现定时循环后台任务

android定时循环,Android AlarmManager实现定时循环后台任务

这篇文章使用AlarmManager实现了Android定时后台循环任务。使用场景:项目需要app每隔一段时间就去服务端请求一次接口,从而更新本地保存的信息。AlarmManager简介AlarmManager是Android中常用的一种系统级别的提示服务,在特定的时刻为我们广播…
阅读更多...
android 线性布局蒙层,Android开发 - 掌握ConstraintLayout(一)传统布局的问题

android 线性布局蒙层,Android开发 - 掌握ConstraintLayout(一)传统布局的问题

在传统的Android开发中,页面布局占用了我们很多的开发时间,而且面对复杂页面的时候,传统的一些布局会显得非常复杂,每种布局都有特定的应用场景,我们通常需要各种布局结合起来使用来实现复杂的页面。随着ConstraintLay…
阅读更多...
android sdk 4.4.4,4.4.4 not in Android SDK manager

android sdk 4.4.4,4.4.4 not in Android SDK manager

问题I need to do some testing with 4.4.4 and it isnt available in my Android SDK Manager?Any ideas on what Im doing wrong?回答1:There is no problem at you Android SDK Manager, you just have to download the API 19.The API 19 is used by all the KitKat devi…
阅读更多...
android7.0提示定位,解决android7.0上某些PopuWindow显示位置不正确的问题

android7.0提示定位,解决android7.0上某些PopuWindow显示位置不正确的问题

网上关于android系统7.0的popupwindow适配的解决方案,基本都是一样的,就是重写PopupWindow里面的方法但是如何进行重写,对于一个初次接触的人来说,是个很头疼的问题。一来是涉及到java基础,二来是涉及到popupwindow的源…
阅读更多...
android 全局 窗口,miui12全局自由窗口app

android 全局 窗口,miui12全局自由窗口app

miui12全局自由窗口app是小米最新更新的系统引用了全局自由窗口功能,在你玩游戏或者是追剧的时候,都可以直接在一个页面上聊天,无需切换那么麻烦,支持多种机型进行使用这个功能,多种模式你可以自由的切换使用&#xff…
阅读更多...
LeetCode - Medium - 264. Ugly Number II

LeetCode - Medium - 264. Ugly Number II

Topic MathDynamic ProgrammingHeap Description https://leetcode.com/problems/ugly-number-ii/ Analysis 方法一:遍历自然数,逐个判断是否是丑数。这方法很低效。 方法二:动态数组。 We have an array k of first n ugly number. W…
阅读更多...
signature=4abdf782f13579fc1b57d94a0c6ce95c,β-lactam-associated eosinophilic colitis

signature=4abdf782f13579fc1b57d94a0c6ce95c,β-lactam-associated eosinophilic colitis

摘要:A 42-year-old man with a history of childhood asthma presented with a 2-week history of watery diarrhoea and marked peripheral eosinophilia in the setting of recent use of cephalexin. His colonoscopy revealed patchy colitis. Biopsies were c…
阅读更多...
html文档定义层标记是,jsp练习题目201312

html文档定义层标记是,jsp练习题目201312

《JSP商务网站设计》复习综合题型一、单项选择题1. 关于分页显示,下列的叙述哪一项是不正确的?()A)只编制一个页面是不可能实现分页显示的B)采用一至三个页面都可以实现分页显示C)分页显示中,记录集不必在页面跳转后重新生成D)分页显示中页面…
阅读更多...
html一个页面同时加载多个饼图,Html5饼图绘制实现统计图的方法

html一个页面同时加载多个饼图,Html5饼图绘制实现统计图的方法

Html5提供了强大的绘图API,让我们能够使用javascript轻松绘制各种图形。本文将主要讲解使用HTML5绘制饼图(统计图)的方法。先看一下饼图效果:这个图是动态生成的,根据传入的比例参数(数组),来动态绘制饼图。饼图的大小也是根据高度…
阅读更多...
html中半透明效果,CSS半透明效果的属性和场景

html中半透明效果,CSS半透明效果的属性和场景

在CSS中与半透明效果相关的属性有两个:opacity和rgba。opacity属性的值规定透明度。从 0.0 (完全透明)到 1.0(完全不透明)。设置opacity元素的所有后代元素会随着一起具有透明性,一般用于调整图片或者模块的整体不透明度。IE8 以及更早的版本支持替代的 …
阅读更多...
swift解析html数据类型,ios-Swift:以标签或textVi显示HTML数据

swift解析html数据类型,ios-Swift:以标签或textVi显示HTML数据

ios-Swift:以标签或textVi显示HTML数据我有一些HTML数据,其中包含标题,段落,图像和列表标签。有没有一种方法可以在一个UITextView或UILabel中显示此数据?12个解决方案146 votes对于Swift 4:extension Stri…
阅读更多...
HTML5新增的video标签,HTML5中video标签的使用方法

HTML5新增的video标签,HTML5中video标签的使用方法

HTML5中video标签的使用方法发布时间:2020-08-27 11:33:56来源:亿速云阅读:100作者:小新这篇文章将为大家详细讲解有关HTML5中video标签的使用方法,小编觉得挺实用的,因此分享给大家做个参考,希…
阅读更多...
开封高级高考2021成绩查询,2021开封市地区高考成绩排名查询,开封市高考各高中成绩喜报榜单...

开封高级高考2021成绩查询,2021开封市地区高考成绩排名查询,开封市高考各高中成绩喜报榜单...

距离2018年高考还有不到一个月的时间了,很多人在准备最后冲刺的同时,也在关心高考成绩。2018各地区高考成绩排名查询,高考各高中成绩喜报榜单尚未公布,下面是往年各地区高考成绩排名查询,高考各高中成绩喜报榜单,想要了解同学可以…
阅读更多...
html 5 笔记,HTML5总笔记(一)

html 5 笔记,HTML5总笔记(一)

一、p、hn、br标签1.2. :注释。3. :一行,一段(在文字后面直接加)。4.:文字中的最大字符(自动换行)。5. :文字中的最大字符(自动换行)。二、b、i、u、s、su…
阅读更多...
【清华大学】《逻辑学概论》笔记

【清华大学】《逻辑学概论》笔记

教学视频来源 ----第0讲 概要-0.1 讲师介绍0.2 课程内容--第1讲 什么是逻辑学?-1.1 “逻辑和逻辑学1.2 推理和推理形式1.3 有效推理形式1.4 逻辑学的特点1.5 逻辑学的基本准则1.6 逻辑学和其他学科的关系1.7 关于本课程《逻辑学概论》---第2讲 逻辑学的产生与发展-…
阅读更多...
公用计算机管理,如何管理公用计算机和私人计算机的文件访问

公用计算机管理,如何管理公用计算机和私人计算机的文件访问

如何管理公用计算机和私人计算机的文件访问08/07/2014本文内容适用于: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007上一次修改主题: 2011-08-01本主题将介绍如何为 Microsoft Exchange Server…
阅读更多...
Spring Boot 2 学习笔记(1 / 2)

Spring Boot 2 学习笔记(1 / 2)

Spring Boot 2 学习笔记(2 / 2) ---01、基础入门-SpringBoot2课程介绍02、基础入门-Spring生态圈03、基础入门-SpringBoot的大时代背景04、基础入门-SpringBoot官方文档架构05、基础入门-SpringBoot-HelloWorld06、基础入门-SpringBoot-依赖管理特性07、…
阅读更多...
关于计算机展览的英语作文,2015考研英语作文范文精选:选什么东西参加展览?...

关于计算机展览的英语作文,2015考研英语作文范文精选:选什么东西参加展览?...

距离考研初试只剩十几天的时间,备考时间可谓相当紧张,考研英语作文的复习是2015考研考前最后冲刺的重点任务之一,在此分享2015考研英语作文范文精选:选什么东西参加展览?希望能够帮助大家更好的备考。2015考研英语作文范文精选&a…
阅读更多...
Spring Boot 2 学习笔记(2 / 2)

Spring Boot 2 学习笔记(2 / 2)

Spring Boot 2 学习笔记(1 / 2) ---45、web实验-抽取公共页面46、web实验-遍历数据与页面bug修改47、视图解析-【源码分析】-视图解析器与视图48、拦截器-登录检查与静态资源放行49、拦截器-【源码分析】-拦截器的执行时机和原理50、文件上传-单文件与多…
阅读更多...
职校学计算机对口高考可以考幼师吗,幼师专业对口高考考那些

职校学计算机对口高考可以考幼师吗,幼师专业对口高考考那些

技校网专门为您推荐的类似问题答案问题1:幼师专业对口高考1,幼教要考的内容很多的,比如音乐,舞蹈,心理卫生,教法等等很多的,其中音乐就要考声乐,乐理,视唱等等???2,如…
阅读更多...
最新文章

Copyright @ 2022~2023