本地拒绝服务漏洞修复建议

最新推荐文章于 2023-08-07 19:04:23 发布
最新推荐文章于 2023-08-07 19:04:23 发布
阅读量430 收藏
点赞数
文章标签: 移动开发 数据库 java
原文链接:http://www.cnblogs.com/antyi/p/5300853.html
版权

 

1. 阿里聚安全建议将不必要的导出的组件设置为不导出

      出于安全考虑,阿里聚安全应将不必要的组件导出,防止引起拒绝服务,尤其是杀毒、安全防护、锁屏防盗等安全应用; 在AndroidMenifest.xml文件中,将相应组件的“android:exported”属性设置为“false”,如下示例:

<activity android:name="MyActivity"
        android:exported="false">
    <intent-filter>
        <action android:name="android.intent.action_TEST"/>
    </intent-filter>
</activity>

2. 阿里聚安全建议intent处理数据时进行捕获异常

      阿里聚安全建议处理通过Intent.getXXXExtra()获取的数据时进行以下判断,以及用try catch方式进行捕获所有异常,以防止应用出现拒绝服务漏洞:
      1) 空指针异常;
      2) 类型转换异常;
      3) 数组越界访问异常;
      4) 类未定义异常;
      5) 其他异常;



引用
[1] http://developer.android.com/reference/android/content/Intent.html

[2] Android APP 通用型拒绝服务漏洞分析报告

转载于:https://www.cnblogs.com/antyi/p/5300853.html

weixin_30409849
关注
常见漏洞修复建议总结
做自己喜欢的事,并将其发挥到极致!
06-06 154
常见漏洞修复建议总结
常见WEB漏洞描述及修复建议(可收藏写报告用)-句芒安全实验室
Key_book(句芒安全实验室)
04-30 2849
注:以下内容部分摘自网络,部分工作总结。 一、明文传输 漏洞描述:用户登录过程中使用明文传输用户登录信息,若用户遭受中间人攻击时,攻击者可直接获取用户密码。 修复建议:1.用户登录信息时使用加密传输,如密码在传输前使用安全的算法加密后传输,可采用的算法包括:不可逆hash算法加盐(4位及以上随机数,由服务器端产生);安全对称加密算法,如AES(128、192、256位),且必须保证客户端密钥...
Android静态安全检测 -> 强制类型转换本地拒绝服务漏洞
4lwin博客
12-06 1564
强制类型转换本地拒绝服务漏洞 - Intent.getXXXExtra() 一、API 1. 继承关系 【1】java.lang.Object 【2】android.content.Intent 2. 主要方法 【1】getSerializableExtra(String name)  返回Serializable 【2】getStr
Android学习第十天-----本地拒绝服务漏洞之一
d_0xff的博客
08-12 1797
本地组件拒绝服务攻击先给一些科普 序列化是什么,为什么要序列化序列化是指把Java对象转换为字节序列并存储到一个存储媒介的过程。反之,把字节序列恢复为Java对象的过程就叫做反序列化。为什么要序列化 JVM(Java Virtual Machine(Java虚拟机)) Java对象存在的前提是JVM有在运行,因此如果JVM没有运行或者在其他机器的JVM是不可能获取到指定的java对象的。而序列
android 拒绝服务漏洞,Android 应用本地拒绝服务漏洞浅析
weixin_36331058的博客
05-25 558
1.本地拒绝服务漏洞描述Android 系统提供了 Activity、Service 和 Broadcast Receiver 等组件,并提供了 Intent 机制来协助应用间的交互与通讯,Intent 负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述,Android 系统则根据此 Intent 的描述,负责找到对应的组件,将 Intent 传递给调用的组件,并完成组件的调用。Andro...
WindowsXP SP3 AFD.sys 本地拒绝服务漏洞的挖掘过程
Less Is More
05-28 5744
标 题: WindowsXP SP3 AFD.sys 本地拒绝服务漏洞的挖掘过程 时 间: 2013-03-17,15:22:33 这是本人第一次做漏洞挖掘,2月的时候开始研究漏洞挖掘技术,2月24号那天在进行Fuzz测试的时候偶然的发现了一个afd.sys未处理的异常,然后就对这个异常如获至宝的分析起来了,因为在上班,所以都是利用周末时间来进行,前前后后到加起来差不多5天时间。现在这个漏
Android本地拒绝服务漏洞学习与复现
九天
04-07 5517
一、前言 本地拒绝服务一般会导致正在运行的应用崩溃,首先影响用户体验,其次影响到后台的Crash统计数据,另外比较严重的后果是应用如果是系统级的软件,可能导致手机重启。 漏洞触发前提条件: getIntent()的intent附带空数据、异常或畸形数据; 处理getXXXExtra()获取的数据时没有进行异常捕获; 二、漏洞原理 Android应用使用Int
openssh kex.c拒绝服务漏洞漏洞CVE-2016-8858)处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-23 873
该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。代码修复链接如下:http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/kex.c#rev1.127。补丁下载:http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/kex.c。更多参看:https://cve.mitre.org/cgi-bin/cvename.cgi?
Python常见安全漏洞修复方法.pdf
06-29
攻击者可以使用恶意构造的XML文件来引用外部实体,进而尝试访问本地文件系统,甚至发起拒绝服务攻击(DoS)。为防止这类攻击,推荐使用不支持外部实体的XML解析库,或者将解析库设置为禁止加载外部实体。另外,使用...
Centos7系统安全漏洞修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
APP漏洞扫描器之本地拒绝服务检测详解
键盘的起始页
06-29 740
APP漏洞扫描器之本地拒绝服务检测详解 阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测,采用的是静态分析加动态模糊测试的方法来检测,检测结果准确全面。本文将讲一下应用漏洞扫描器在针对本地拒绝服务的检测方法。 一、本地拒绝服务产生原因和影响 Android应用使用Intent机制在组件之间传递数据,如果应用在使用getIntent(),getAction(),Intent.getXXXExtra()获取到空数据、异常或者畸形数据时没有进行异常捕获,应用就会发生Crash
Drupal长密码拒绝服务漏洞复现(CVE-2014-9016),python编写POC
wangqiao258的博客
10-28 4017
环境搭建: 使用vulhub,进入CVE-2014-3704文件夹启动环境: [root@www /]# cd /home/vulhub-master/drupal/CVE-2014-3704/ [root@www CVE-2014-3704]# docker-compose up -d 查看端口: [root@www CVE-2014-3704]# docker ps CONTAINER ID IMAGE COMMAND
Web长密码拒绝服务漏洞
黑剑
03-09 2181
没有对明文密码的长度施加任何最大值,这意味着攻击者可以简单地提交任意大且保证失败的密码,迫使运行 服务器执行由此产生的昂贵的哈希计算以尝试检查密码。 例如,在使用 PBKDF2 哈希器时,大小为 1 兆字节的密码将需要大约一分钟的计算时间来检查,“这允许通过重复提交大密码来进行拒绝服务攻击,从而在昂贵的相应哈希计算中占用服务器资源。” 场景一:如果用户名不存在,则不会计算密码哈希,因为用户名不存在。 场景二:如果用户名存在,则计算密码散列并与存储在数据库中的散列进行比较。如果比较的哈希值相同,则授予您访问
windows nfs客户端_Windows系统NFS服务远程拒绝服务或代码执行漏洞通告
weixin_39944146的博客
12-05 392
通告概要2020年11月11日,在微软每月的例行补丁日修复了两个NFS(网络文件系统,最初由Sun公司开发用于Unix类系统)共享服务中的漏洞漏洞成因都是由于NFS服务未能正确处理客户端发送的畸形数据所导致,编号分别为CVE-2020-17047及CVE-2020-17051, CVE-2020-17047为远程拒绝服务漏洞CVE-2020-17051为远程代码执行漏洞。奇安信威胁情...
OGNL高危拒绝服务漏洞修复方案
10-14 404
东方联盟郭盛华/漏洞描述: OGNL缓存投毒漏洞,攻击者可利用该漏洞进行拒绝服务攻击。 影响版本: Struts2.0.0-2.3.24.1 漏洞等级: 高危 修复建议: 1、升级 OGNL到 3.0.12版本以上。 2、升级Struts到最新版。 3、使用百度云加速WAF防火墙进行防御。 4、添加网站至云观测,及时了解网站组件突发/0day漏洞。 ...
Redis 拒绝服务漏洞CVE-2023-28856)修复处理
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-07 2201
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。官方补丁:https://github.com/redis/redis/,https://github.com/redis/redis/pull/11149,RDB 格式的内容和 AOF 格式的内容,该文件的前半段是 RDB 格式的全量数据,而后半段是 Redis 命令格式的增量数据;丢失数据的概率相对有点大。
【代码扫描修复】DoS 拒绝服务漏洞
ACGkaka的博客
11-18 1328
如果应用程序存在 Denial Of Service(DoS)漏洞,攻击者就能阻止合法用户访问由该应用程序提供的服务。攻击者可能通过对应用程序发送大量请求,而使它拒绝对合法用户的服务,但是这种攻击形式经常会在网络层就被排除掉了。导致出现很多问题的原因之一是资源释放不当的 bug,这种 bug 会导致应用程序在运行时停止。同样的道理,当程序漏洞被利用时,服务可能会停止或者处理它使用的资源的方式。如果一项服务收到了大量的请求,那么它可能会停止向合法用户提供。修复建议:避免因流无限大,导致的死循环或内存溢出。
原代码审计笔记-安全缺陷
scdncby的博客
11-11 5693
目录 原代码审计笔记-安全缺陷 URL重定向: 不安全的SSL(过于宽泛的证书信托): 反射型跨站脚本: 路径操纵: 拒绝服务(StringBuilder): 整数溢出: J2EE错误配置(过度会话超时): 代码正确性:字节数组到字符串转换: 原代码审计笔记-安全缺陷 URL重定向: 问题示例: protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException .
ProFTPd 远程拒绝服务漏洞 (APP,缺陷)
Chendy的专栏
04-11 929
涉及程序: ProFTPd   描述: ProFTPd 内存泄露引起拒绝服务攻击   详细: ProFTPd 是一款非常流行的 FTP 服务器。发现它存在一个安全漏洞,允许恶意用户对它进行拒绝服务攻击。 当 ProFTPd 执行 SIZE FTP 命
Windows IIS服务器RC4漏洞修复指南
"Windows服务器IIS的SSL/TLS RC4信息泄露漏洞修复" 在网络安全领域,Web服务器的安全性至关重要,尤其是对于运行IIS (Internet Information Services) 的Windows服务器。IIS是微软公司提供的一个用于发布网页和服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值