APP部分漏洞及解决方法

最新推荐文章于 2024-05-11 07:48:49 发布
最新推荐文章于 2024-05-11 07:48:49 发布
阅读量1.9k 收藏 2
点赞数 1
分类专栏: android小问题 android 文章标签: android 漏洞 预警 bug android漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tushiba/article/details/103869000
版权

 公司APP在教育移动互联网应用程序备案管理平台上收到通报预警,陈列了部分需要解决的漏洞,陈列如下

 

1. 漏洞-动态注册Receiver风险

解决方法:

1.在 AndroidManifest.xml 文件中静态注册 BroadcastReceiver,同时设置 exported="false"。

2.必须动态注册 BroadcastReceiver时,使用registerReceiver(BroadcastReceiver, IntentFilter, broadcastPermission,android.os.Handle)函数注册。

 

2. 漏洞-WebView远程代码执行漏洞

解决方法:

如果一定要使用addJavascriptInterface接口,需使用以下方法:

1. 设置minSdkVersion值大于或等于17,使应用不能在4.2以下系统上运行。

2. 允许被JavaScript调用的函数必须以@JavascriptInterface进行注解。

 

3. 漏洞-WebView明文存储密码漏洞

解决方法:

建议开发者通过WebView.getSettings().setSavePassword(false)来关闭WebView组件的密码保存功能。

 

4. 漏洞-RSA加密算法不安全使用风险

解决方法:

1.使用RSA算法进行数字签名时,建议密钥长不要低于512位,推荐1024位。

2.使用RSA加密时,如果设置工作模式为ECB,建议填充方式为OAEPWithSHA256AndMGF1Padding。

 

5. 漏洞-密钥硬编码风险

解决方法:

1. 使用算法生成密钥。

2. 若不使用算法生成密钥,则使用参数的形式传递密钥,使密钥与加密算法不在同一函数中

 

6. 漏洞-数据库注入漏洞

解决方法:

1. 不必要导出的Provider组件,建议显示设置组件的“android:exported”属性为false。如果Provider组件需要与其他APP共享数据或者交互,请对组件进行权限控制和参数校验。

2. 不要在query中使用拼接字符串形式构造的SQL语句去查询底层SQLite数据库,使用selectionArgs进行参数化查询。 修复代码示例如下: 

selection = "name=?";
String[] selectionArgs = new String[]{et_name.getText().toString()};
cursor = sqldb.query("addressbook", null, selection, selectionArgs, null, null, null, null);

 

7. 漏洞-0204

描述:

该应用存在滥用权限。 1:android.permission.RESTART_PACKAGES

2:android.permission.CHANGE_WIFI_STATE

3:android.permission.CHANGE_WIFI_MULTICAST_STATE

4:android.permission.BLUETOOTH

5:android.permission.RECORD_AUDIO

6:android.permission.WRITE_SETTINGS

解决方法:动态申请相应权限,必要时做出充分使用说明

tushiba
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安卓漏洞(apk破解总览)
Haowill的博客
10-09 2027
安卓常见漏洞有,APK破解、不安全的用户数据存储、任意备份漏洞、不安全的数据传输、不安全的加密算法、组件导出拒绝服务漏洞等,我们这次主要研究的是apk破解 APK的破解主要有apk篡改(二次打包与重签名)、反编译(dex反编译、so反编译 )、动态调试(java层动态调试、native层动态调试)、动态注入(java层动态注入、native层态注入) APK篡改 二次打包、重签名 二次打包(缺少自身文件完整性校验) Android应用在编译后会将其代码、资源文件、配置文件打包成APK文件,APK文.
APP端常见漏洞与实例分析
IT教育任姐姐的博客
03-03 2495
前言:白帽子们一般都是从web端开始学习安全技术,但是我们并不满足于web端,自然而然地对APP端产生了浓厚的兴趣,本文将讲述如何在移动端进行渗透,并分享自己在对移动端渗透过程中常见的漏洞与一些案例的分析。 01环境搭建 首先下载一个模拟器来模拟手机的环境,本文使用的是夜神模拟器。 1、在burpsuite中新建一个代理,注意端口不要冲突 2、在模拟器中打开设置界面中的WLAN菜单,长按弹出,点击修改网络 3、点击手动,然后配置电脑的ip,和代理端口,保存退出。 4、打开浏览器,访.
手机APP测试方法.pdf
10-09
手机APP测试方法.pdf
Android App漏洞学习(一)
hl1293348082的专栏
04-09 327
DIVA(Damn insecure and vulnerable App)是一个故意设计的存在很多漏洞Android app,目的是为了让开发、安全工程师、QA等了解Android app常见的一些安全问题,类似dvwa,也可以把它当成一个漏洞演练系统。下载地址: http://www.payatu.com/wp-content/uploads/2016/01/diva-beta.tar.gz 测试环境 1,安装JDK,很多工具需要用到Java环境; 2,安装Android开发工具(A
2024年最全网络安全人士必备的13个漏洞库_通用漏洞数据库,你还看不懂吗
最新发布
m0_60452293的博客
05-11 917
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
APP漏洞挖掘(二)同开发商的多款APP存在通用漏洞
ALLEN'Blog
01-28 814
其他剩余的30几个APP基本上都存在SQL注入漏洞与逻辑处理漏洞,只是有点细微的区别。比如,注入点随着APP功能不同而不同,多观察也可以找到。这类APP的逻辑处理漏洞在于返回包中明文显示验证码、或者验证码直接回显到APP验证码填写处,也不难发现。漏洞的挖掘未必有多难,胜在细致入微的观察。逻辑处理漏洞,只是有点细微的区别。比如,注入点随着APP功能不同而不同,多观察也可以找到。这类APP的逻辑处理漏洞在于返回包中明文显示验证码、或者验证码直接回显到APP验证码填写处,也不难发现。
Web开发常见的几个漏洞解决方法
weixin_33739541的博客
04-15 751
平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,所以对于安全性一般不是看的很重,基本上由于是内网系统,一般也很少会受到攻击,但有时候一些系统平台,需要外网也要使用,这种情况下,各方面的安全性就要求比较高了,所以往往会交付给一些专门做安全测试的第三方机构进行测试,然后根据反馈的漏洞进行修复,如果你平常对于一些安全漏洞不够了解,那么反馈的结果往往是很残酷的,迫使你必须在很多细节上进行...
APP漏洞类型
weixin_43801663的博客
07-21 1260
1. 信息泄露漏洞 logcat输出敏感信息 ​ 应用层log敏感信息输出 ​ 应用层System.out.println敏感信息输出 ​ 系统bug异常导致log输出 ​ Native层敏感Log输出 2. 组件越权漏洞 Activity 组件越权 广播越权 3. 中间人劫持 Http造成的中间人劫持 https造成的中间人劫持 UXSS漏洞 浏览器自身的XSS漏洞 4. 远程代码执行漏洞 Webview漏洞 5. Content Provider SQL注入 6. openFile函数目录遍历 7.
app应用漏洞的简单发现
nightswatch1的博客
05-07 1122
32.APP应用之漏洞探针 32.1原理分析 其实这里所谓的app就只是web的套壳。 步骤,先下载任意一个模拟器,然后在这个模拟器里面安装好非法的软件,在设置的wifi处修改好代理的地址和端口,就可以实现在电脑端抓取手机端的数据包了。这里总共介绍了三款软件进行抓包,其实步骤都是差不多的,都是在打开了软件之后随意点击之后,查看数据包 ---burpsuite:使用麻烦,可视性差,可拓展性强 ---charles:抓取的web层次清晰, ---抓包精灵(APK,直接放到模拟器里面使用):简单,不易
解决app误报毒 可打包app可上传apk
07-12
解决APP误报毒的方法包括: 1. **优化代码混淆**:选择更为安全的混淆策略,避免混淆后的代码触发恶意行为检测。同时,可以尝试使用白名单混淆,只对关键部分进行混淆。 2. **合理使用权限**:只申请必要的权限,...
移动APP安全及检测体系分析.pdf
08-26
移动APP已经成为现代生活中不可或缺的一部分,它们为用户提供了丰富的功能和服务,但同时也带来了一系列的安全问题。在安卓平台上,由于其开放的生态环境,应用更容易受到攻击安全问题尤为突出。本篇文章将深入...
app安全评估操作指南及填写范例.zip
10-24
"app安全评估操作指南及填写范例.zip" 文件包提供了一份详细的指南,旨在帮助开发者理解并执行应用安全评估,同时包含了一个安全评估报告的填写范例,这对于准备将应用上架到各大应用市场的开发者来说,是非常实用的...
手机APP测试报告模板.docx
07-08
2.3 测试人员:测试团队由专业测试工程师组成,他们负责设计和执行测试用例,记录结果,并与开发团队协作解决发现的问题。 2.4 测试问题总结:这部分汇总了在测试过程中遇到的所有问题,包括错误、缺陷和异常行为,...
APP漏洞检测方法
houhaizi的博客
06-24 1500
根据国内专业PP漏洞检测平台爱内测(www.detect.cn)介绍,目前关于APP漏洞检测有以下6种功能检测方法:  组件安全检测 对四大组件和WebView的规范使用检测分析,发现因为程序中不规范使用导致的组件漏洞。  代码安全检测 对dex和so库以及第三方加载库的代码的安全处理进行检测分析,发现代码被反编译和破解的漏洞。  内存安全检测 检测APP运行过程中的内存处理和保护机制进行检测分析...
Atlassian 修复严重的Confluence 硬编码凭据漏洞
smellycat000的专栏
07-21 368
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Atlassian 修复了Confluence Server and Data Center 中一个严重的硬编码凭据漏洞 (CVE-2022-26138),它可导致远程未认证攻击者登录到易受攻击的未修复服务器。该硬编码密码是在安装 Questions for Confluence app(版本2.7.34、2.7.35和...
APP安全漏洞学习笔记
shayuchaor的博客
12-28 5214
APP安全漏洞学习笔记 本文首先明确了APP安全的目标,然后对常见的APP漏洞进行了整理分析,并研究学习了APK的静态分析与动态分析技术,最后介绍了安卓的渗透测试技术和常见的安全评估工具。附录处整理了2014年和2015年的OWASP移动风险Top10. 1.安卓APP安全的目标 1.1保护用户的数据 用户在使用APP时通常不得不交付一些敏感数据给APP,如...
app漏洞扫描以及解决办法
qq_36173654的博客
10-17 1182
安装包签名【高危】 使用JDK中的jarsigner.exe检查安装包的签名。不安全。没有jar签名 解决办法:在android应用打包时同时采用V1 V2 签名 组件导出安全【低危待确认】 导出组件没有进行严格的访问控制,那么其它APP就可以通过调用这个导出组件的接口来访问原本没有声明权限的功能, 构成本地权限提升。 解决办法:避免不必要的组件导出。如果组件需要使用<intent-filter>,但不需要导出, 设置如下参数“android:exported="false"”。 输入记
APP漏洞挖掘之某款APP开发商通用漏洞的挖掘
Ms08067安全实验室
12-23 399
0x01 前言参加某众测项目时,测某APP时,根据信息收集+测试,发现APP的后台系统存在SQL注入、XSS、弱口令、信息泄漏等漏洞,此APP本身存在逻辑漏洞与SQL注入漏洞,再通过观察酷传搜索的结果发现此APP开发商开发了三十几个APP,猜测可能存在相同类型的漏洞,经测试猜测被证实,可以刷一波积分。此文仅作为学习记录,仅提供思路,所述漏洞均已提交并修复。0x02 第一个APP根据众测平台要求从豌...
软件开发过程中常见漏洞的解析
深耕安全技术研究
07-19 1921
软件漏洞的解析
weblogic检测到目标url存在http host头攻击漏洞如何解决
04-25
根据提供的引用内容,解weblogic检测到目标URL存在http host头攻击漏洞方法如下: 1. 在weblogic中配置HTTP Host头过滤器[^1]。可以通过以下步骤进行配置: - 打开weblogic控制台。 - 导航到“环境” -> “服务器” -> “目标服务器”。 - 选择目标服务器,然后点击“配置”选项卡。 - 在“过滤器”部分,点击“新建”按钮。 - 在“过滤器类”字段中输入“weblogic.servlet.internal.http.HttpHostFilter”。 - 点击“添加”按钮,然后在“参数”字段中输入“allowHosts”。 - 在“值”字段中输入允许的主机名列表,用逗号分隔。 - 点击“保存”按钮,然后重新启动weblogic服务器。 2. 在代码中使用可靠的方法获取HTTP Host头信息。可以使用以下代码替换原有的获取方法: ```java String host = request.getHeader("Host"); ``` 这样可以确保获取到的HTTP Host头信息是可靠的,避免被攻击者篡改。 3. 配置web应用的web.xml文件,禁用不必要的HTTP方法。可以通过以下代码将不需要的HTTP方法禁用: ```xml <web-app> ... <security-constraint> <web-resource-collection> <web-resource-name>Restricted Methods</web-resource-name> <url-pattern>/*</url-pattern> <http-method>TRACE</http-method> <http-method>DELETE</http-method> <http-method>PUT</http-method> <http-method>OPTIONS</http-method> <http-method>CONNECT</http-method> <http-method>TRACK</http-method> <http-method>MOVE</http-method> <http-method>COPY</http-method> <http-method>PROPFIND</http-method> <http-method>PROPPATCH</http-method> <http-method>MKCOL</http-method> <http-method>LOCK</http-method> <http-method>UNLOCK</http-method> <http-method>VERSION-CONTROL</http-method> <http-method>CHECKOUT</http-method> <http-method>CHECKIN</http-method> <http-method>UNCHECKOUT</http-method> <http-method>REPORT</http-method> <http-method>UPDATE</http-method> <http-method>LABEL</http-method> <http-method>MERGE</http-method> <http-method>BASELINE-CONTROL</http-method> <http-REDIRECT-REF</http-method> <http-method>VERSION-CONTROLLED-UPDATE</http-method> <http-method>BASELINE-CONTROLLED-CHECKOUT</http-method> <http-method>VERSION-CONTROLLED-CHECKOUT</http-method> <http-method>VERSION-CONTROLLED-CHECKIN</http-method> <http-method>VERSION-CONTROLLED-UNCHECKOUT</http-method> <http-method>VERSION-CONTROLLED-UPDATE-REDIRECT-REF</http-method> </web-resource-collection> <auth-constraint/> </security-constraint> ... </web-app> ``` 这样可以限制不必要的HTTP方法,减少攻击面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值