zoukankan      html  css  js  c++  java
  • Android安全-其他安全2-常见漏洞

    Android安全-其他安全2-常见漏洞

    (1)SQL注入

      使用字符串连接方式构造SQL语句就会产生SQL注入。

      解决方法:使用参数化查询。

    (2)Logcat泄露用户敏感信息。

    (3)恶意的广告包插件(可能存在后门、WebView漏洞等)

    (4)UXSS漏洞:

            UXSS漏洞可以绕过同源策略访问存储在Android应用目录/data/data/[应用包名]/下的所有内容。

        如果产生该漏洞的是web浏览器,则攻击者可以利用该漏洞窃取浏览器存储的所有cookie信息以及其它信息。

        测试代码:

        代码地址:https://github.com/click1/uxss

        在线测试地址:http://uxss.sinaapp.com/index.php

        解决方法:

        1、服务端禁止iframe嵌套X-FRAME-OPTIONS:DENY。详见:http://drops.wooyun.org/papers/104

        2、客户端使用setAllowFileAccess(false)方法禁止webview访问本地域。详见:setAllowFileAccess(boolean)

        3、客户端使用onPageStarted (WebView view, String url, Bitmap favicon)方法在跳转前进行跨域判断。

        4、客户端对iframe object标签属性进行过滤。

      详情可参考:http://www.80vul.com/webzine_0x06/PSTZine_0x06_0x05.txt

  • 相关阅读:
    Django自带的用户认证auth模块
    Django logging模块
    python之MRO和垃圾回收机制
    Django内置form表单和ajax制作注册页面
    自定义登录验证的中间件
    中间件控制访问评率
    多表查询
    单表查询
    同一服务器部署多个tomcat时的端口号修改详情
    反射获取类中的属性和set属性
  • 原文地址:https://www.cnblogs.com/harry335/p/5194942.html
Copyright © 2011-2022 走看看