检测依据
《GB∕T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求》
《GB∕T 34975-2017 信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》
《GAT 1390.3-2017 信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》
《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》
《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》
《电子银行业务管理办法》
《电子银行安全评估指引》
《中国金融移动支付客户端技术规范》
《中国金融移动支付应用安全规范》
《移动互联网应用软件安全评估大纲》
《中华人民共和国网络安全法》
《移动互联网应用程序信息服务管理规定》
《移动互联网应用程序安全加固能力评估要求与测试方法》
3.3.2 数据库注入漏洞
解决方案:不要使用拼接字符串形式构造的SQL语句去查询底层SQLite数据库,建议使用参数化查询方式来查询数据库。 修复代码示例如下: String sql = "SELECT * FROM table where name=?" ; sqldb.rawQuery(sql, new String[]{et_name.getText().toString()});
我并没有使用SQLite,也没有选择这个权限模块**
3.3.5 AES/DES加密算法不安全使用风险
解决方案:使用AES/DES算法时,当使用CBC和CFB工作模式。
3.3.6 RSA加密算法不安全使用风险
解决方案:1.使用RSA算法进行数字签名时,建议密钥长不要低于512位,推荐1024位。
2.使用RSA加密时,如果设置工作模式为ECB,建议填充方式为OAEPWithSHA256AndMGF1Padding。
3.3.13 SD卡数据泄露风险
解决方案:对数据进行持久化存储的时候,尽量避免重要信息存放在外部设备(SD卡)上。
3.4.5 动态注册Receiver风险
解决方案:1.在 AndroidManifest.xml 文件中静态注册 BroadcastReceiver,同时设置 exported="false"。
2.必须动态注册 BroadcastReceiver时,使用registerReceiver(BroadcastReceiver, IntentFilter, broadcastPermission,android.os.Handle)函数注册。
3.6.2 截屏攻击风险
解决方案:在Activity的oncreate()方法中调用getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);或者getWindow().addFlags(WindowManager.LayoutParams.FLAG_SECURE);达到防止截屏攻击的目的。
3.7.1 Activity最小化特权检测
解决方案:开发者自查,设置AndroidManifest.xml文件中Activity组件EXPORTED属性为false,对于必须导出的组件必须限制于授权用户或者特定应用组件,并且尽量不包含任何的Intent Filter。
3.7.2 Service最小化特权检测
解决方案:开发者自查,设置AndroidManifest.xml文件中Service组件EXPORTED属性为false,对于必须导出的组件必须限制于授权用户或者特定应用组件,并且不要给未知名的Service传递Intent。
3.7.4 Broadcast Receiver最小化特权检测
解决方案:开发者自查,设置AndroidManifest.xml中的Broadcast Receiver组件EXPORTED属性为false,对于必须导出的组件必须限制于授权用户或者特定应用组件。
3.7.11 Intent Scheme URL攻击漏洞
建议开发者使用Intent.parseUri函数,获取的Intent必须严格过滤,Intent至少包含addCategory(“android.intent.category.BROWSABLE”)、setComponent(null)、setSelector(null)3个策略。
3.8.11 未使用编译器堆栈保护技术风险
建议开发者使用gcc编译时,使用以下参数gcc -o demo demo.c -fstack -protector -all;或者使用NDK编译SO文件时,在Android.mk文件中增加以下参数LOCAL_CFLAGS := -Wall -O2 -U_FORTIFY_SOURCE -fstack-protector-all
6 个回复
DCloud_Android_ST
收到。官方相关的问题我们会后续逐步去优化。第三方的SDK无法保证。建议先加固APK规避一些问题。
3***@qq.com - 莫名其妙
如果我云打包apk之后使用加固宝再加固一次 可以吗
chenli
是
2020-07-29 17:00
2***@qq.com
加固能解决吗?同样遇到这种情况
2021-02-02 17:48
1***@qq.com (作者) - 我是小提莫
能不能把已知的先优化一版呢?项目要上线!等保公司通过之后才能上
wongjoke
怎么解决?
1***@qq.com (作者)
这个问题花钱就能解决o( ̄︶ ̄)o
2021-03-17 15:50
wongjoke
回复 1***@qq.com: QAQ...加固吗 ?
2021-03-17 16:32
1***@qq.com (作者)
回复 wongjoke: 嗯 我们用了爱加密
2021-03-18 09:26
nealtsiao
回复 1***@qq.com: 爱加密能解决吗?
2021-04-21 00:09
a***@54315.com
回复 1***@qq.com: 爱加密费用多少?
2021-06-15 15:44
DCloud_云服务_LQ
回复 a***@54315.com: 有加固需求的,推荐【uni安全加固】 https://uniapp.dcloud.net.cn/uni-app-security.html 其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云
2023-10-16 16:01
KayZ
请问3.8.11 未使用编译器堆栈保护技术风险
这个解决了吗
DCloud_云服务_LQ
有加固需求的,推荐【uni安全加固】 https://uniapp.dcloud.net.cn/uni-app-security.html 其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云