作者 | 漏洞404
编辑 | L
[漏洞404] 学习文章
网络安全需要你我共同努力
如需转载,请联系平台
APP作为个人信息处理的重要载体,已成为监管重点,如不履行隐私合规义务,将会面临行政处罚与民事责任的双重后果。APP运营者需要主动合规、实质合规,以满足日益严格的监管要求。
app客户端评估-url硬编码
测试描述
在Android应用、第三方库AAR包、第三方库JAR包 的代码内部,可能存在大量开发人员或其他工作人员无意识留下的信息内容。URL信息检测就是通过检测代码内部所存在的URL地址信息,尽可能呈现出应用中所有的URL信息,便于应用开发者查看并评估其安全性。应用发布包中的 URL 地址信息,可能会被盗取并恶意利用在正式服务器上进行攻击,攻击安全薄弱的测试服务器以获取服务器安全漏洞或逻辑漏洞。
测试工具
jadx-gui、AndroidKiller...
检查方法
-
反编译apk文件
-
检查代码中存在URL地址信息相关
风险判定
低风险:代码中存在URL地址信息
无风险:代码中不存在URL地址信息
修复方案
删除apk中的URL硬编码信息
如果你想了解更多网络安全相关知识
请扫描二维码关注公众号获得更多资讯