hbuildx版本:4.45
vue版本:2
类型 :ios/安卓
我们的业务进行等保维护很多问题无法解决,请求官方帮助
1. 调试日志函数调用风险
1.
[文件]:
androidtranscoder/MediaTranscoder$3
[方法]:
private closeStream()V
2.
[文件]:
androidtranscoder/MediaTranscoder$4
[方法]:
public call()Ljava/lang/Void;
3.
[文件]:
androidtranscoder/MediaTranscoder
[方法]:
public
transcodeVideo(Ljava/lang/String;Ljava/lang/String;Landroidtranscod
er/format/MediaFormatStrategy;Landroidtranscoder/MediaTranscode
r$Listener;)Ljava/util/concurrent/Future;
2. 剪切板敏感信息泄露漏洞
1.
[文件]:
com/taobao/weex/appfram/clipboard/WXClipboardModule
[方法]:
public setString(Ljava/lang/String;)V
[代码]:
Landroid/content/ClipboardManager;->setPrimaryClip
2.
[文件]:
com/taobao/weex/ui/view/WXTextView$1$1
[方法]:
public onMenuItemClick(Landroid/view/MenuItem;)Z
[代码]:
Landroid/content/ClipboardManager;->setPrimaryClip解决方案:
开发者自查:
尽量不使用剪切板,建议将 activity 中的 EditText 设置属性
android:longClickable="false"。若必须要使用剪切板,确保敏感信息不会
被存入。3.Hash 摘要算法不安全使用风险
1.
[文件]:
com/amap/api/col/3sl/iy
[方法]:
private static b(Ljava/lang/String;)Ljava/lang/String;
2.
[文件]:
io/dcloud/common/util/HashUtils
[方法]:
public static getHash(Ljava/lang/String;)Ljava/lang/String;
3.
[文件]:
io/dcloud/common/util/Md5Utils
[方法]:
public static md5(Ljava/lang/String;)Ljava/lang/String;
4.
[文件]:
io/dcloud/common/util/Md5Utils
[方法]:
public static md5([B)Ljava/lang/String;
5.
[文件]:
io/dcloud/common/util/Md5Utils
[方法]:
public static md5LowerCase(Ljava/lang/String;)Ljava/lang/String;
6.
[文件]:
io/dcloud/common/util/Md5Utils
[方法]:
public static md5LowerCase32Bit(Ljava/lang/String;)Ljava/lang/String;
7.
[文件]:
com/facebook/common/util/SecureHashUtil
[方法]:
public static makeSHA1HashBase64([B)Ljava/lang/String;方案 开发者自查:
使用 SHA-256 或 SM3 等安全性更高的 Hash 算法
4. 敏感函数调用风险
1.
[文件]:
com/dcloud/android/downloader/DownloadService
[方法]:
private static isServiceRunning(Landroid/content/Context;)Z
[代码]:
Landroid/app/ActivityManager;.getRunningServices
2.
[文件]:
io/dcloud/common/util/ServiceUtil
[方法]:
public static
isServiceRunning(Landroid/content/Context;Ljava/lang/Class;)Z
[代码]:
Landroid/app/ActivityManager;.getRunningServices
3.
[文件]:
io/dcloud/common/util/RuningAcitvityUtil
[方法]:
public static
isRunningProcess(Landroid/content/Context;Ljava/lang/String;)Z
[代码]:
Landroid/app/ActivityManager;.getRunningAppProcesses
4.
[文件]:
io/dcloud/sdk/core/DCloudAOLManager
[方法]:
public static
initWebViewWithMultiProcess(Landroid/content/Context;)
[代码]:
Landroid/app/ActivityManager;.getRunningAppProcesses5. zip 文件解压目录遍历漏洞
1.
[文件]:
com/amap/api/col/3sl/bv
[方法]:
private static
a(Ljava/io/File;Ljava/util/zip/ZipInputStream;JLcom/amap/api/col/3sl/
bv$c;Lcom/amap/api/col/3sl/bv$a;)V
2.
[文件]:
com/facebook/soloader/ApkSoSource$ApkUnpacker
[方法]:
protected shouldExtract(Ljava/util/zip/ZipEntry;Ljava/lang/String;)Z方案 :开发者自查:当 App 程序中使用 zipInputStream 类对 Zip 压缩包进行解压
操作时,在 ZipEntry.getName()获取的文件名后,必须添加过滤代码对文 件名中可能包含的“../” 进行过滤判断,以提示用户并终止可能发生的异常
操作。以下为修复代码示例:
while((ZipEntry =zipInputStream.getNextEntry())!=null
{String entryName=zipEntry.getnName();
if (entryName.contains("../"))
{
throw new Exception("发现不安全的 zip 文件解压路径!")
}
}运行其他可执行程序漏洞
代码:
1.
[文件]:
com/bun/miitmdid/core/Utils
[方法]:
private static CPUABI()Ljava/lang/String;
2.
[文件]:
io/dcloud/feature/gg/dcloud/ADHandler
[方法]:
private static getUT()Ljava/lang/String;
3.
[文件]:
n0/e
[方法]:
private static d(Landroid/content/Context;)Ljava/lang/String;
4.
[文件]:
com/hjq/permissions/PhoneRomUtils
[方法]:
private static
getSystemPropertyByShell(Ljava/lang/String;)Ljava/lang/String;
5.
[文件]:
io/dcloud/common/constant/DataInterface
[方法]:
public static getSystemProperty()Ljava/lang/String;解决方案:开发者自查:
可以通 java 代码去实现相关功能,尽量不要通过脚本去执行程序逻辑。
外部储存卡存储数据风险
字节数组与字符串转换风险
初始化向量硬编码风险
第三方 SDK 密钥硬编码风险
PendingIntent 错误使用 Intent 风险
Intent 组件隐式调用风险
反射调用风险
覆盖权限验证风险
不安全的浏览器调用漏洞
混淆代理人攻击风险
Broadcaster 权限未指定风险
弱哈希算法使用漏洞
随机数不安全使用漏洞
不安全的 API 函数引用风险
自定义函数逻辑过于复杂风险
外部函数显式调用风险
系统调用暴露风险
共享屏幕检测
Airplay 投屏检测
0 个回复