uni-app做的app,安全检测没通过,求解决办法!!!???
检测项汇总
序号 检测项目 风险等级 检测结果
安全防护能力(12)项
2 ZipperDown漏洞 高 存在风险
9 未使用编译器堆栈保护技术风险 低 存在风险
12 终端ROOT状态检测 低 存在风险
组件风险(11)项
1 Activity最小化特权检测 中 存在风险
2 Service最小化特权检测 中 存在风险
4 Broadcast Receiver最小化特权检测 中 存在风险
5 WebView组件忽略SSL证书验证错误漏洞 低 存在风险
7 WebView跨域访问漏洞 高 存在风险
11 Intent Scheme URL攻击漏洞 低 存在风险
3 Intent隐式调用风险 中 存在风险
4 动态注册Receiver风险 高 存在风险
数据存储风险(13)项
2 数据库注入漏洞 高 存在风险
5 AES/DES加密算法不安全使用风险 中 存在风险
6 RSA加密算法不安全使用风险 中 存在风险
9 日志数据泄露风险 低 存在风险
10 URL硬编码风险 低 存在风险
12 测试信息泄露风险 中 存在风险
13 SD卡数据泄露风险 中 存在风险
身份认证风险(3)项
2 截屏攻击风险 中 存在风险
源文件安全(7)项
1 Java代码加壳程度检测 高 存在风险
3 SO文件加固检测 高 存在风险
6 资源文件泄露风险 中 存在风险
feng2801
- 发布:2020-07-22 10:13
- 更新:2024-09-28 04:42
- 阅读:2187
app安全检测:数据库注入漏洞、ZipperDown漏洞
分类:uni-app
楼主的帖子比较早了,很多问题已经不存在了。
关于ZipperDown漏洞,我看有人挖坟,回复如下:
三方评测机构,不懂DCloud产品,经常乱搞。
DCloud有解压api,plus.zip,你要解压什么、解到哪里,我们是不能限制的,我们是透传os的能力出来。
我们限制了”../”,那你真的需要解压”../”的文件怎么办?
所以核心是你的调用plus.zip的js代码是否安全,是否过滤了不安全的目录。但三方评测机构,扫描的都是原生代码,肯定不知道js代码是否安全。
DCloud这边有等保服务,可以保过。详见
建议退单,改用DCloud的等保评测。
另外你也可以使用uni加固。
加固的好处是java代码加密了,那些扫描java代码检测的工具无法识别代码,就无法报风险了。但这个不算正道,治本还是得和靠谱的评测机构合作,真正保障安全。
收到。官方相关的问题我们会后续逐步去优化。第三方的SDK无法保证。建议先加固APK规避一些问题。
-
你好,云打包,需要如何对APK固?
现在也遇到安全检测结果分析:WebView跨域访问漏洞
威胁描述:
在Android应用中,WebView开启了file域访问,允许file域访问http域,且未对file域的路径进行严格限制。攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。
检测详情:
1.使用静态检测引擎对APK进行反编译。
2.扫描反编译后的代码文件,发现存在WebView跨域访问漏洞。
第1处:
文件:
io.dcloud.common.adapter.ui.webview.SysWebView.java
代码:
.method public init()V invoke-virtual {v0, v2}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V
第2处:
文件:
io.dcloud.feature.weex.adapter.webview.DCWXWebView.java
代码:
.method private initWebView(Landroid/webkit/WebView;)V invoke-virtual {v0, v1}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V2020-12-18 11:43
-
-
-
-
lianpengfei - Lian
uni-app做的app,安全检测没通过,求解决办法!!!???
检测项汇总
1.后⻔ SDK 检测(高)
2.DEX 保护检测(高)
3.Activity 最小化特权检测(高)
5.BroadcastReceiver组件暴露(中)
6.私有文件泄漏(中)
7.Intent组件数据泄露(中)
8.代码混淆检测(低)
