6.1 配置文件存储安全评测
评测目的 检测该应用检测配置文件是否泄漏敏感信息
评测等级 高危
评测过程
1、解压缩ipa文件。
2、分析解压缩出的配置文件是否是明文存储,是,则存在风险,否,则安全。
评测依据
《移动互联网应用软件安全通用技术规范》(4.2.3 数据存储)
《JRT 0092-2012 中国金融移动支付客户端技术规范》(6章 客户端安全技
术要求)
CWE-ID CWE-312
漏洞类型 敏感信息的明文存储
评测描述
iOS应用包中的属性列表文件Plist(Property List)是一种结构化的二进制格
式文件,包含了内嵌键值对的可执行bundle的基本配置信息,保存在“[App
home目录]/documents/”目录下。 Plist文件主要用于存储用户设置及App
的配置信息,包括用户名、密码或其它一些个人敏感信息,而保存在Plist文
件中的二进制格式数据则可以使用Plist文件编辑器或者工具iExplorer获取,
直接以明文存储敏感信息将会直接暴露,例如导致用户登录过的用户名信息
以及密码泄露。
评测结果
存在风险
共发现3个风险
Payload/HBuilder.app/Frameworks/DCloudUTSFoundation.framework
/uts-info.json
Payload/HBuilder.app/Pandora/apps/UNIE9B6D54/www/androidP
rivacy.json
Payload/HBuilder.app/Pandora/apps/UNIE9B6D54/www/manifest.j
son
解决方案 对于敏感的配置文件应进行加密存储。
0 个回复