uni-app做的app,安全检测没通过,求解决办法!!!???
检测项汇总
序号 检测项目 风险等级 检测结果
安全防护能力(12)项
2 ZipperDown漏洞 高 存在风险
9 未使用编译器堆栈保护技术风险 低 存在风险
12 终端ROOT状态检测 低 存在风险
组件风险(11)项
1 Activity最小化特权检测 中 存在风险
2 Service最小化特权检测 中 存在风险
4 Broadcast Receiver最小化特权检测 中 存在风险
5 WebView组件忽略SSL证书验证错误漏洞 低 存在风险
7 WebView跨域访问漏洞 高 存在风险
11 Intent Scheme URL攻击漏洞 低 存在风险
3 Intent隐式调用风险 中 存在风险
4 动态注册Receiver风险 高 存在风险
数据存储风险(13)项
2 数据库注入漏洞 高 存在风险
5 AES/DES加密算法不安全使用风险 中 存在风险
6 RSA加密算法不安全使用风险 中 存在风险
9 日志数据泄露风险 低 存在风险
10 URL硬编码风险 低 存在风险
12 测试信息泄露风险 中 存在风险
13 SD卡数据泄露风险 中 存在风险
身份认证风险(3)项
2 截屏攻击风险 中 存在风险
源文件安全(7)项
1 Java代码加壳程度检测 高 存在风险
3 SO文件加固检测 高 存在风险
6 资源文件泄露风险 中 存在风险
- 发布:2020-07-22 10:13
- 更新:2024-01-22 14:37
- 阅读:1875
app安全检测:数据库注入漏洞、ZipperDown漏洞
收到。官方相关的问题我们会后续逐步去优化。第三方的SDK无法保证。建议先加固APK规避一些问题。
-
你好,云打包,需要如何对APK固?
现在也遇到安全检测结果分析:WebView跨域访问漏洞
威胁描述:
在Android应用中,WebView开启了file域访问,允许file域访问http域,且未对file域的路径进行严格限制。攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。
检测详情:
1.使用静态检测引擎对APK进行反编译。
2.扫描反编译后的代码文件,发现存在WebView跨域访问漏洞。
第1处:
文件:
io.dcloud.common.adapter.ui.webview.SysWebView.java
代码:
.method public init()V invoke-virtual {v0, v2}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V
第2处:
文件:
io.dcloud.feature.weex.adapter.webview.DCWXWebView.java
代码:
.method private initWebView(Landroid/webkit/WebView;)V invoke-virtual {v0, v1}, Landroid/webkit/WebSettings;->setAllowFileAccessFromFileURLs(Z)V2020-12-18 11:43
lianpengfei - Lian
uni-app做的app,安全检测没通过,求解决办法!!!???
检测项汇总
1.后⻔ SDK 检测(高)
2.DEX 保护检测(高)
3.Activity 最小化特权检测(高)
5.BroadcastReceiver组件暴露(中)
6.私有文件泄漏(中)
7.Intent组件数据泄露(中)
8.代码混淆检测(低)