网站开发和安卓开发,建设网站注意实现,搜狗站长平台主动提交,我想网上做网站1.高危 Intent Scheme URL攻击详情#xff1a;恶意页面可以通过Intent scheme URL执行基于Intent的攻击建议#xff1a;将Intent的component/selector设置为null2.高危 WebView应用克隆风险详情#xff1a;APP使用WebView访问网络#xff0c;当开启了允许JS脚本访问本地文件…1.高危 Intent Scheme URL攻击详情恶意页面可以通过Intent scheme URL执行基于Intent的攻击建议将Intent的component/selector设置为null2.高危 WebView应用克隆风险详情APP使用WebView访问网络当开启了允许JS脚本访问本地文件一旦访问恶意网址存在被窃取APP数据并复制APP的运行环境造成“应用克隆”的后果可能造成严重的经济损失。建议建议禁用setAllowFileAccessFromFileURLs和setAllowUniversalAccessFromFileURLs若需要允许JS访问本地文件则应使用白名单等策略进行严格的访问控制。3.高危 不安全Zip文件解压详情zip压缩包中的文件名中可以包含“/”所以如果文件名字是包含多个“../”就会造成文件被恶意放置覆盖掉APP原有的文件建议对 ZipEntry.getName() 字段进行 ../ 筛查4.高危 进程注入详情Android 系统使用的是 Linux 内核进程间是弱相互作用可以在应用进程空间内创建线程来加载自定义的 .so 文件也就是进程注入。具体的实现依赖于 linux 下的 ptrace() 函数将客户端进程作为我们自定义进程的子进程操作客户端进程的寄存器和内存来运行加载自定义的 .so 文件将 .so 链接到客户端进程最后让客户端进程的执行流程跳转到自定义的.so。总结来讲如果Android 客户端没有对进程进行有效的保护攻击者就可以向从 Native 层面向客户端进程远程加载任意 .so 链接库从而侵入客户端进程的进程空间以搜索、篡改敏感内存或干涉客户端的执行过程。建议1、ptrace 附加失败。2、修改 linker 中的 dlopen 函数防止第三方 so 加载。3、定时检测应用加载的第三方 so 库如果发现是被注入的 so卸载加载的 so5.高危 服务端证书弱校验详情使用HTTPS协议时客户端必须验证服务器是真实合法的目标服务器。Android默认的HTTPS证书验证机制不接受不可信的连接因而是安全的但Android允许开发者重定义证书验证方法。当自定义的X509TrustManager类未检查证书是否合法时会存在客户端与仿冒服务器通讯的风险可能导致账号、密码等敏感信息被窃取甚至通信内容被篡改。建议利用X509TrustManager子类中的checkServerTrusted函数校验服务器端证书的合法性6.中危 WebView同源策略绕过详情JavaScript的延时执行能够绕过file协议的同源检查从而够访问受害应用的所有私有文件。通过WebView对Javascript的延时执行将当前Html文件删除掉并软连接指向其他文件就可以读取到被符号链接所指的文件然后通过JavaScript再次读取HTML文件即可获取到被符号链接所指的文件。恶意应用通过该漏洞可在无特殊权限下盗取应用的任意私有文件。比如浏览器应用存在此漏洞可获取到的信息包括但不限于保存的密码、Cookie、收藏夹以及历史记录等。建议1、不必要导出的组件设置为不导出建议显式设置所注册组件的“android:exported”属性为false。2、对于需要导出包含WebView的组件建议禁止使用File域协webView.getSettings. setAllowFileAccess(false)。3、如需使用File域协议建议禁止File域协议调用JavaScriptwebView.getSettings. setJavaScriptEnabled(false)7.中危 隐式Intent劫持详情APP使用隐式的Intent存在被恶意三方APP钓鱼的风险建议尽量使用显式Intent8.中危 残留URL详情APP 中残留开发或测试阶段使用的 URL 地址时存在被攻击者当做攻击目标的风险。建议移除APP 中的 URL 地址 。9.中危 动态注册BroadcastReceiver风险详情APP使用动态BroadcastReceiver时未对广播增加权限控制可以被任意外部应用访问存在数据泄漏或是越权调用等风险建议在AndroidManifest.xml文件中声明广播权限在注册广播时限制相同的action应用够使用此广播。10.中危 不安全哈希算法详情android系统提供Hash算法签名重要数据当应用使用MD5/SHA-1计算重要数据的哈希值时更容易遭到碰撞攻击。攻击者利用碰撞攻击的方式逆向获取Hash签名的重要数据建议使用SHA-256哈希算法11.中危 主机名弱校验详情使用HTTPS协议时客户端必须验证服务器是真实合法的目标服务器。Android默认的HTTPS证书验证机制不接受不可信的连接因而是安全的但Android允许开发者重定义证书验证方法。当自定义的HostnameVerifier类未检查证书中的主机名与使用该证书的服务器的主机名是否一致或被配置为接受任何服务器主机名时会存在客户端与仿冒服务器通讯的风险可能导致账号、密码等敏感信息被窃取甚至通信内容被篡改。建议利用HostnameVerifier子类中的verify函数校验服务器主机名的合法性
