我们用HBuilder开发了一个项目,检测公司检测说又安全漏洞,下面是他们提的一些问题:
1 Intent scheme url漏洞
漏洞描述 如果浏览器支持Intent Scheme Uri语法,如果过滤不当,那么恶意用户可能通过浏览器js代码进行一些恶意行为,比如盗取cookie等。如果使用了Intent.parseUri函数,获取的intent必须严格过滤,intent至少包含addCategory(“android.intent.category.BROWSABLE”),setComponent(null),setSelector(null)3个策略。
2 WebView 不校验证书漏洞
漏洞描述 调用了android/webkit/SslErrorHandler类的proceed方法,可能导致WebView忽略校验证书的步骤
3 AES/DES弱加密风险
漏洞描述 使用AES/DES加密算法时,应显式指定使用CBC或CFB模式.否则容易受到选择明文攻击(CPA)的风险,造成信息泄露。
4 初始化IvParameterSpec函数错误
漏洞描述 使用固定初始化向量,结果密码文本可预测性会高得多,容易受到字典式攻击。
5未移除有风险的Webview系统隐藏接口
漏洞描述 android webview组件包含3个隐藏的系统接口:searchBoxJavaBridge_, accessibilityTraversal以及accessibility,恶意程序可以利用它们实现远程代码执行。请通过显示调用removeJavascriptInterface移除这三个系统隐藏接口。
一共列了12个漏洞,HBuilder是一键生成apk的,求教大神!!!
1 个回复
orchie
你把12个都贴出来怎么就贴了5个