1
![笑望哥](http://img-cdn-tc.dcloud.net.cn/uploads/avatar/000/25/60/85_avatar_mid.jpg?v=1685508753)
- 发布:2022-09-02 19:39
- 更新:2023-04-25 07:01
- 阅读:1351
产品分类: uniapp/App
PC开发环境操作系统: Mac
PC开发环境操作系统版本号: 10.15.7
HBuilderX类型: 正式
HBuilderX版本号: 3.5.3
手机系统: Android
手机系统版本号: Android 12
手机厂商: 小米
手机机型: redmi k30
页面类型: nvue
vue版本: vue2
打包方式: 云端
项目创建方式: HBuilderX
操作步骤:
预期结果:
1
1
实际结果:
1
1
bug描述:
地方部门下达了限期整改的通知
目前使用3.5.3打包的应用,提供的[爱加密]检测报告中的2个问题
我也查阅了官方的安全问题解决方案,第1条存在疑问,第2条数据库注入漏洞问题没有查到解决方案
1.SO 文件破解风险检测
apk解压后的路径:lib/armeabi-v7a/全部文件
看了市面上的免费的apk加固都不带so加固,有so加固的付费版费用较高(tx那边收费8w/年/个),承担不起。
并且检测报告里面提到的so文件都是第三方的。
后来发现一个免费的so文件加固平台:http://www.xmprotect.com/index.html
有个疑问:云打包的apk如何单独加固so文件。
使用了腾讯/360的免费加固apk之后,还会检测出这个问题吗?
2.数据库注入漏洞
1.使用静态检测引擎对 APK 进行反编译。
2.扫描反编译后的代码文件,发现 query()的参数为拼接字符串。
第 1 处:
文件:
io.dcloud.common.util.db.DCSQLiteOpenHelper.java
代码:
.method private
createTableIfNotExists(Landroid/database/sqlite/SQLiteData
base;Ljava/lang/String;)V invoke-virtual {p1, v1, v0},
Landroid/database/sqlite/SQLiteDatabase;->rawQuery(Ljava/lang/String;[Ljava/lang/String;)Landroid/database/Curs
or;
![](http://img-cdn-tc.dcloud.net.cn/uploads/questions/20220902/7decf813665967cd3910e1517188d29d.jpg)
最佳回复
![DCloud_App_Array](http://img-cdn-tc.dcloud.net.cn/uploads/avatar/000/00/00/46_avatar_mid.jpg?v=0)
检测报告里面提到的so文件都是第三方的,指的是哪些?请上传详细检测报告
-
笑望哥 (作者)
该应用存在未加密的 SO 文件。检测文件总数 17 个,未加密 SO
文件 17 个。
详情列举
1.使用静态检测引擎对 APK 进行解压缩。
2.对解压缩的文件进行扫描,提取 so 文件。
3.使用 so 文件检测工具对 so 文件进行检测,发现存在未加固的
so 文件。
第 1 处:
文件:
lib/armeabi-v7a/libAMapSDK_MAP_v7_9_1.so
第 2 处:
文件:
lib/armeabi-v7a/libc++_shared.so
第 3 处:
文件:
lib/armeabi-v7a/libnative-imagetranscoder.so
第 4 处:
文件:
lib/armeabi-v7a/libnative-filters.so
第 5 处:
文件:
lib/armeabi-v7a/libijkplayer.so
......2022-09-02 20:48
-
-