超级会员免费看
本文详述了Android应用安全开发中的关键问题,包括平台使用不当、数据存储、通信安全、认证安全和加密策略。强调了组件最小化暴露、防止Webview远程代码执行、密码储存安全、会话安全和避免IMEI作为唯一设备ID的重要性。提供了相应的防范方法和代码示例,以提升Android应用的安全性。
本博客地址:https://security.blog.csdn.net/article/details/110873262
一、平台使用不当
1.1、定义
平台使用不当包涵Android控件的配置不当或编码不当。包括Activity、Service、ContentProvider、Broadcast Receiver、Intent组件、WebView组件使用过程中配置是否规范与编码是否规范。
1.2、风险
平台使用不当会造成的风险包括组件被恶意调用、恶意发送广播、恶意启动应用服务、恶意调用组件、拦截组件返回的数据、远程代码执行等。
1.3、防范方法
1.3.1、预防组件最小化组件暴露
【规范要求】
针对不需要进行跨应用调用的组件,应在配置文件(AndroidManifest.xml)中显示配置android:exported="false"属性。
【详细说明】
组件配置android:exported="false"属性,表明它为私有组件,只可在同一个应用程序组件间或带有相同用户ID的应用程序间才能启动或绑定该服务。在非必要情况下,如果该属性设置为“true”,则该组件可以被任意应用执
订阅专栏 解锁全文
扫一扫
136
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
