1***@qq.com
1***@qq.com
  • 发布:2020-07-29 15:45
  • 更新:2023-10-16 16:00
  • 阅读:3796

Android安全检测报告,等保测评过不了,提示风险

分类:uni-app

检测依据
《GB∕T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求》
《GB∕T 34975-2017 信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》
《GAT 1390.3-2017 信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》
《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》
《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》
《电子银行业务管理办法》
《电子银行安全评估指引》
《中国金融移动支付客户端技术规范》
《中国金融移动支付应用安全规范》
《移动互联网应用软件安全评估大纲》
《中华人民共和国网络安全法》
《移动互联网应用程序信息服务管理规定》
《移动互联网应用程序安全加固能力评估要求与测试方法》

3.3.2 数据库注入漏洞
解决方案:不要使用拼接字符串形式构造的SQL语句去查询底层SQLite数据库,建议使用参数化查询方式来查询数据库。 修复代码示例如下: String sql = "SELECT * FROM table where name=?" ; sqldb.rawQuery(sql, new String[]{et_name.getText().toString()});
我并没有使用SQLite,也没有选择这个权限模块**

3.3.5 AES/DES加密算法不安全使用风险
解决方案:使用AES/DES算法时,当使用CBC和CFB工作模式。

3.3.6 RSA加密算法不安全使用风险
解决方案:1.使用RSA算法进行数字签名时,建议密钥长不要低于512位,推荐1024位。
2.使用RSA加密时,如果设置工作模式为ECB,建议填充方式为OAEPWithSHA256AndMGF1Padding。

3.3.13 SD卡数据泄露风险
解决方案:对数据进行持久化存储的时候,尽量避免重要信息存放在外部设备(SD卡)上。

3.4.5 动态注册Receiver风险
解决方案:1.在 AndroidManifest.xml 文件中静态注册 BroadcastReceiver,同时设置 exported="false"。
2.必须动态注册 BroadcastReceiver时,使用registerReceiver(BroadcastReceiver, IntentFilter, broadcastPermission,android.os.Handle)函数注册。

3.6.2 截屏攻击风险
解决方案:在Activity的oncreate()方法中调用getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);或者getWindow().addFlags(WindowManager.LayoutParams.FLAG_SECURE);达到防止截屏攻击的目的。

3.7.1 Activity最小化特权检测
解决方案:开发者自查,设置AndroidManifest.xml文件中Activity组件EXPORTED属性为false,对于必须导出的组件必须限制于授权用户或者特定应用组件,并且尽量不包含任何的Intent Filter。

3.7.2 Service最小化特权检测
解决方案:开发者自查,设置AndroidManifest.xml文件中Service组件EXPORTED属性为false,对于必须导出的组件必须限制于授权用户或者特定应用组件,并且不要给未知名的Service传递Intent。

3.7.4 Broadcast Receiver最小化特权检测
解决方案:开发者自查,设置AndroidManifest.xml中的Broadcast Receiver组件EXPORTED属性为false,对于必须导出的组件必须限制于授权用户或者特定应用组件。

3.7.11 Intent Scheme URL攻击漏洞
建议开发者使用Intent.parseUri函数,获取的Intent必须严格过滤,Intent至少包含addCategory(“android.intent.category.BROWSABLE”)、setComponent(null)、setSelector(null)3个策略。

3.8.11 未使用编译器堆栈保护技术风险
建议开发者使用gcc编译时,使用以下参数gcc -o demo demo.c -fstack -protector -all;或者使用NDK编译SO文件时,在Android.mk文件中增加以下参数LOCAL_CFLAGS := -Wall -O2 -U_FORTIFY_SOURCE -fstack-protector-all

2020-07-29 15:45 负责人:无 分享
已邀请:
DCloud_Android_ST

DCloud_Android_ST

收到。官方相关的问题我们会后续逐步去优化。第三方的SDK无法保证。建议先加固APK规避一些问题。

3***@qq.com

3***@qq.com - 莫名其妙

如果我云打包apk之后使用加固宝再加固一次 可以吗

  • chenli

    2020-07-29 17:00

  • 2***@qq.com

    加固能解决吗?同样遇到这种情况

    2021-02-02 17:48

1***@qq.com

1***@qq.com (作者) - 啦啦啦啦

能不能把已知的先优化一版呢?项目要上线!等保公司通过之后才能上

wongjoke

wongjoke

怎么解决?

  • 1***@qq.com (作者)

    这个问题花钱就能解决o( ̄︶ ̄)o

    2021-03-17 15:50

  • wongjoke

    回复 1***@qq.com: QAQ...加固吗 ?

    2021-03-17 16:32

  • 1***@qq.com (作者)

    回复 wongjoke: 嗯 我们用了爱加密

    2021-03-18 09:26

  • nealtsiao

    回复 1***@qq.com: 爱加密能解决吗?

    2021-04-21 00:09

  • a***@54315.com

    回复 1***@qq.com: 爱加密费用多少?

    2021-06-15 15:44

  • DCloud_云服务_LQ

    回复 a***@54315.com: 有加固需求的,推荐【uni安全加固】 https://uniapp.dcloud.net.cn/uni-app-security.html 其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云

    2023-10-16 16:01

KayZ

KayZ

请问3.8.11 未使用编译器堆栈保护技术风险
这个解决了吗

DCloud_云服务_LQ

DCloud_云服务_LQ

有加固需求的,推荐【uni安全加固】 https://uniapp.dcloud.net.cn/uni-app-security.html 其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云

要回复问题请先登录注册