APP危险漏洞整理

中危

1.权限冗余


权限冗余

解决方案:移除所有未使用的权限

2.源代码反编译风险


源代码反编译风险

解决方案:采用主流应用加固保护方案或者其他放反编译方案
3.加固壳


加固壳

解决方案:使用主流加固厂商提供的专业加固方案

4.ROOT设备运行风险


ROOT设备运行风险

解决方案:应用运行时,应对终端是否ROOT进行检测,并提示用户潜在的安全风险

5.WebView远程代码执行安全


WebView远程代码执行安全

解决方案:出于安全考虑,为了防止java层的函数被任意调用,GOOGLe在4.2版本以后,规定允许被调用的函数必须以@javascriptInterface进行注解,因此如需使用WebView.addJavascriptInterface方法,该应用必须依赖的apiLEvel为17或者以上

6.移除有风险的WebView系统隐藏接口


未移除有风险的WebView系统隐藏接口

解决方案:建议 在使用AndroidWebView组件时显示调用removeJavascriptInterface方法来移除这三个系统隐藏接口

7.上传任意格式的文件
解决方案:对上传的附件进行过滤,不满足格式不能上传和显示

更多的

Android手机App安全漏洞整理
刷SRC之APP漏洞挖掘工具篇
手机app常见的漏洞有哪些

光荣之盾 -渗透测试工程师

你可能感兴趣的:(APP危险漏洞整理)