无
米果
- 发布:2026-01-09 18:14
- 更新:2026-01-13 11:23
- 阅读:458
产品分类: uniapp/App
PC开发环境操作系统: Windows
PC开发环境操作系统版本号: Win11
HBuilderX类型: 正式
HBuilderX版本号: 4.87
手机系统: iOS
手机系统版本号: iOS 18
手机厂商: 苹果
手机机型: iphone
页面类型: vue
vue版本: vue2
打包方式: 云端
项目创建方式: HBuilderX
操作步骤:
预期结果:
无风险
无风险
实际结果:
APP名称:
课后延时服务-手机端-家长版-
APP包类型:
IOS
APP包版本:
3.2.16
检测机构:
公安部十一局
通报说明:
1、30天内在教育部APP安全通报平台提交整改安装包并通过复测,完成整改工作。2、若不再继续运营的APP需提供盖章的公司证明文件,并在备案平台提交撤销备案。
检测结果:
漏洞- 注入攻击风险- 1- 高危
检测报告:
下载附件
检测时间:
2025-12-19 10:47:13
APP名称:
课后延时服务-手机端-家长版-
APP包类型:
IOS
APP包版本:
3.2.16
检测机构:
公安部十一局
通报说明:
1、30天内在教育部APP安全通报平台提交整改安装包并通过复测,完成整改工作。2、若不再继续运营的APP需提供盖章的公司证明文件,并在备案平台提交撤销备案。
检测结果:
漏洞- 注入攻击风险- 1- 高危
检测报告:
下载附件
检测时间:
2025-12-19 10:47:13
bug描述:
自3.2.16版本,引入了付费插件,此版本提交以后,公安部十一局检测结果:
漏洞- 注入攻击风险- 1- 高危
因为付费插件必须云打包,因此我方无法获取插件源码,同时作为uni-app只包含了前端页面文件源码,并没有原生代码。
在本地打包代码存在:window.plus.bridge.execSync2(_Server,"__loadDylib"
猜测于此问题有关。
从附件“ 延时服务app漏洞.docx”提供的信息看是应用没有添加反注入攻击功能导致无法通过检测,与你提到的“window.plus.bridge.execSync2”无关。需要说明的是这个漏洞是iOS系统的漏洞,并不是uni-app框架的问题。检测报告中提到的两种攻击方式,第一种是在越狱环境本身iOS系统就不是安全环境(苹果官方也在防止系统被越狱);第二种是非越狱环境下重签名,在AppStore发布模式下只要开发者账号不被泄露是不会发生这种情况的。“ 延时服务app漏洞.docx”中也提供了解决方案:
- 建议开发者使用带有防注入攻击功能的iOS混淆加固产品
- 或者添加代码防止应用被动态注入攻击
方案1,可以找一个专门做加固功能产品,对HBuilderX云端打包生成ipa进行加固处理。
方案2,开发uni原生语言插件添加“ 延时服务app漏洞.docx”中提供的放注入逻辑代码,此方案需要有原生开发能力。如果自己无法解决,可以走付费技术支持来实现
内容为 AI 生成,仅供参考
从“延时服务app漏洞.docx”看,这个问题跟插件及uni-app开发框架都没有关系,详细描述信息及解决方案已更新Ask小助手恢复内容,请参考回复信息来解决。
-
米果 (作者)
已经联系了插件作者,使用的也是银联提供的SDK,只是做了包装透传。目前我们自己分析的结果是银联SDK存在"DYLD_INSERT_LIBRARIES"的使用。也就是高位风险可能导致注入的原因。
2026-01-13 11:26
确实是没有加固导致的
-
米果 (作者)
1、加固意味着持续的成本投入。2、uni-app的核心代码都是JS,本次的问题都是原生代码的问题,一旦使用付费插件就只能云端打包意味着我们作为开发者是无法控制原生代码。3、按照官方回答,还必须使用自己原生插件,才能干预原生代码。这些都是问题。
2026-01-13 11:42
米果 (作者) - 米果智能科技
在银联提供的支付SDK的二进制包中存在"DYLD_INSERT_LIBRARIES"的变量。即使是升级银联提供的iOS SDK到3.6.3版本,依然存在此问题。
已经通过内部对接渠道反馈给银联商务,目前还没有反馈。
