有解决吗? 我这被管局抽查,也遇到8个问题了,用了360的加固
(一)Java代码反编译风险
检测目的 检测java层代码是否存在源代码被反编译而泄露的风险。
检测步骤 1、通过解压缩应用包文件。
2、扫描文件目录中是否存在加固特征的SO和JAR及布局文件系统资源文件。
3、存在证明该应用包经过加固保护,无法反编译。是,则安全;否,则存在风险。
检测结果 存在风险(发现13处)
结果描述 该Apk可以被反编译后获取源代码。
解决方案 第三方支持:使用具有防反编译功能的第三方专业加固方案,防止应用被反编译。
(二)数据库注入漏洞(动态)
检测目的 检测App应用的数据库是否存在sql注入漏洞。
检测步骤 1、利用自动化工具通过对应用进行安全扫描获取所有的风险Content Provider URL。
2、通过获取的URL 对这些URL执行注入扫描,获取结果。注入成功,则存在风险;否,则安全。
检测结果 存在风险(发现3处)
结果描述 该App应用存在数据库注入漏洞。
解决方案 开发者自查:重设content provider组件权限,并为数据库读写操作分别设置权限;对使用的参数格式尤其是可能造成非预期行为的特殊字符参数进行严格过滤。
(三)Dirty Stream漏洞
检测目的 检测应用是否存在Dirty Stream漏洞
检测步骤 1.反编译APK文件
2.解析应用中是否存在Dirty Stream漏洞特征,是,则存在风险,否,则安全。
检测结果 存在风险(发现4处)
结果描述 该应用存在Dirty Stream漏洞
解决方案 开发者自查:
请参考Google在应用程序安全指南中的提示,进行修复。
https://developer.android.google.cn/privacy-and-security/risks/untrustworthy-contentprovider-provided-filename
(四)“应用克隆”漏洞攻击风险
检测目的 检测App中是否存在利用webview跨域访问进行“应用克隆”漏洞攻击的风险。
检测步骤 1、反编译APK文件。
2、在应用AndroidManifest文件中找到可以导出的activity,判断可导出的activity是否存在Webview相关调用。
3、若存在判断有无设置可访问文件域系统API, 如果为true继续判断有无对传入的url进行相关校验。
检测结果 存在风险(发现2处)
结果描述 该App应用存在利用“应用克隆”漏洞进行攻击。
解决方案 开发者自查:
1.严格限制包含WebView调用的Activity组件的导出权限,关闭导出权限或者限制导出组件的发起者。
2.对于功能要求必须导出的Activity组件,手动设置
setAllowFileAccessFromFileURLs(false)或
setAllowUniversalAccessFromFileURLs(false)
或者设置minSDK不小于16,因为此时这两处API默认为false
3. 对于必须使用file URL对http域进行访问时,可对传入的URL路径范围严格控制,例如建立URL白名单,设置允许访问的URL列表(不要遗漏路径中可能出现的特殊情况如“../../”等,避免限制被绕过)。示例代码如下 :
当返回值为true时,应该拒绝此URL路径下的访问。
(五)动态注入攻击风险(动态)
检测目的 检测客户端App运行时是否面临动态注入的风险。
检测步骤 1、将应用安装到模拟器设备上并运行。
2、向应用程序中注入dex文件。
3、查看进程中是否存在注入的字符串。是,则存在风险;否,则安全。
检测结果 存在风险(发现1处)
结果描述 该App存在动态注入的风险。
解决方案 第三方支持:使用具有反动态注入功能的第三方专业加固方案,防止应用被动态注入。
(六)动态调试攻击风险(动态)
检测目的 检测客户端App运行时是否面临C层动态调试的风险。
检测步骤 1、将应用安装到模拟器设备上并运行。
2、向应用程序中注入dex文件。
3、查看进程中是否存在注入的字符串。是,则存在风险;否,则安全。
检测结果 存在风险(发现1处)
结果描述 该App存在动态注入的风险。
解决方案 第三方支持:使用具有反动态注入功能的第三方专业加固方案,防止应用被动态注入。
(七)Frida HOOK调试风险(动态)
检测目的 检测应用是否存在 Frida Hook 调试风险
检测步骤 1、在移动测试终端上安装frida hook测试APP。
2、安装并运行应用,并执行测试脚本。
3、监控应用运行状态,是否返回可正常运行的结果。是,则存在风险;否,则安全。
检测结果 存在风险(发现1处)
(八)程序内存数据被Dump风险(动态)
检测目的 检测应用程序是否存在程序内存数据被Dump风险
检测步骤 1、安装并启动应用
2、对应用运行时内存进行dump,检测是否可获取内存地址中的数据,是,则存在风险,否,则安全
检测结果 存在风险(发现1处)
结果描述 该应用存在内存数据被Dump风险
解决方案 第三方加固保护:
集成专业的内存保护功能,避免内存数据被篡改或dump,从而保护数据的安全性。
1 个回复
d***@qq.com
有解决吗? 我这被管局抽查,也遇到8个问题了,用了360的加固
(一)Java代码反编译风险
检测目的 检测java层代码是否存在源代码被反编译而泄露的风险。
(二)数据库注入漏洞(动态)
检测目的 检测App应用的数据库是否存在sql注入漏洞。
(三)Dirty Stream漏洞
检测目的 检测应用是否存在Dirty Stream漏洞
(四)“应用克隆”漏洞攻击风险
检测目的 检测App中是否存在利用webview跨域访问进行“应用克隆”漏洞攻击的风险。
检测步骤 1、反编译APK文件。
2、在应用AndroidManifest文件中找到可以导出的activity,判断可导出的activity是否存在Webview相关调用。
3、若存在判断有无设置可访问文件域系统API, 如果为true继续判断有无对传入的url进行相关校验。
检测结果 存在风险(发现2处)
结果描述 该App应用存在利用“应用克隆”漏洞进行攻击。
(五)动态注入攻击风险(动态)
检测目的 检测客户端App运行时是否面临动态注入的风险。
(六)动态调试攻击风险(动态)
检测目的 检测客户端App运行时是否面临C层动态调试的风险。
检测步骤 1、将应用安装到模拟器设备上并运行。
2、向应用程序中注入dex文件。
3、查看进程中是否存在注入的字符串。是,则存在风险;否,则安全。
检测结果 存在风险(发现1处)
结果描述 该App存在动态注入的风险。
解决方案 第三方支持:使用具有反动态注入功能的第三方专业加固方案,防止应用被动态注入。
(七)Frida HOOK调试风险(动态)
检测目的 检测应用是否存在 Frida Hook 调试风险
(八)程序内存数据被Dump风险(动态)
检测目的 检测应用程序是否存在程序内存数据被Dump风险
检测步骤 1、安装并启动应用
2、对应用运行时内存进行dump,检测是否可获取内存地址中的数据,是,则存在风险,否,则安全
检测结果 存在风险(发现1处)
结果描述 该应用存在内存数据被Dump风险
解决方案 第三方加固保护:
集成专业的内存保护功能,避免内存数据被篡改或dump,从而保护数据的安全性。