Android漏洞问题
Android-gif-Drawable远程代码执行漏洞
将Android-gif-Drawable更新至1.2.18及以上版本
漏洞代码CWE-530
将 AndroidMainfest.xml 文件中的 allowBackup 属性值设置为 false
漏洞代码CWE-276
禁止其他多余的应用功能授权访问此应用,如非必要,自定义权限的保护级别至少要设置为:signature或者signatureOrSystem
漏洞代码CWE-926
将 AndroidMainfest.xml 文件中的 Activity的android:exported属性值设置为 false,MainActivity除外
设置Service的android:exported属性为false或者通过设置自定义权限来限制对Service的访问
设置 AndroidManifest.xml 中的 Broadcast Receiver 组件 EXPORTED 属性为 false
漏洞代码CWE-22
限制组件权限。如果ContentProvider组件只是自己app使用,则设置exported=”false”,如果要提供数据给其他app使用,则提高组建权限,如:使用protectionLevel=”signature”及以上的权限
漏洞代码CWE-89
如果程序中的特殊原因需要把targetSdkVersion设置为低于17的时候,基于webView的安全漏洞需要对webView.load指定的url/path指定的html/js 进行认证与完整性验证,确认load的指定url/path不会因为篡改注入远程控制的代码
targetSdkVersion为26为合适
Web Storage数据泄露风险
不使用LocalStorage 和 SessionStorage来存储敏感数据