APP危险漏洞整理

中危

1.权限冗余

权限冗余

解决方案：移除所有未使用的权限

2.源代码反编译风险

源代码反编译风险

解决方案：采用主流应用加固保护方案或者其他放反编译方案
3.加固壳

加固壳

解决方案：使用主流加固厂商提供的专业加固方案

4.ROOT设备运行风险

ROOT设备运行风险

解决方案：应用运行时，应对终端是否ROOT进行检测，并提示用户潜在的安全风险

5.WebView远程代码执行安全

WebView远程代码执行安全

解决方案：出于安全考虑，为了防止java层的函数被任意调用，GOOGLe在4.2版本以后，规定允许被调用的函数必须以@javascriptInterface进行注解，因此如需使用WebView.addJavascriptInterface方法，该应用必须依赖的apiLEvel为17或者以上

6.移除有风险的WebView系统隐藏接口

未移除有风险的WebView系统隐藏接口

解决方案：建议 在使用AndroidWebView组件时显示调用removeJavascriptInterface方法来移除这三个系统隐藏接口

7.上传任意格式的文件
解决方案：对上传的附件进行过滤，不满足格式不能上传和显示

更多的

Android手机App安全漏洞整理
刷SRC之APP漏洞挖掘工具篇
手机app常见的漏洞有哪些

光荣之盾 -渗透测试工程师