测评目的 检测ipa包是否存在注入攻击风险
危险等级 高
危害 攻击者通常有两种手段进行攻击,第一种是修改app的二进制文件增加攻击代码,第二种是通过注入外部库,即启动前通过设置DYLD_INSERT_LIBRARIES环境变量指定第三方库文件,加载前会优先加载第三方库文件。攻击者可以通过注入攻击将一段恶意代码写到目标进程,这段代码可以加载其它可执行程序,进而实施hook,监控程序运行、获取敏感信息等。常见的动态注入,可以实现窃取输入的登录账号、密码、支付密码,修改转账的目标账号、金额,窃取通讯数据等。
测评结果 存在风险(发现1处)
测评结果描述 该App中存在注入攻击风险
测评详细信息
解决方案 以下两种方式任选其一:
1.xcode设置Other Linker Flags 参数增加
-Wl,-sectcreate,_RESTRICT,_restrict,/dev/null
2.代码DYLD_INSERT_LIBRARIES 检测
char *env = getenv("DYLD_INSERT_LIBRARIES");
If(env !=null)
{ NSLog(@"不为空表示通过环境变量有注入模块%s",env); }
这个问题要怎么解决啊
2 个回复
d***@qq.com
几年了, 都没人回复 提问题有什么意义
uniapp 开发就是一个坑啊
kkkkkuuu
兄弟,这个问题你解决了吗?