zoukankan      html  css  js  c++  java
  • Android安全-其他安全2-常见漏洞

    Android安全-其他安全2-常见漏洞

    (1)SQL注入

      使用字符串连接方式构造SQL语句就会产生SQL注入。

      解决方法:使用参数化查询。

    (2)Logcat泄露用户敏感信息。

    (3)恶意的广告包插件(可能存在后门、WebView漏洞等)

    (4)UXSS漏洞:

            UXSS漏洞可以绕过同源策略访问存储在Android应用目录/data/data/[应用包名]/下的所有内容。

        如果产生该漏洞的是web浏览器,则攻击者可以利用该漏洞窃取浏览器存储的所有cookie信息以及其它信息。

        测试代码:

        代码地址:https://github.com/click1/uxss

        在线测试地址:http://uxss.sinaapp.com/index.php

        解决方法:

        1、服务端禁止iframe嵌套X-FRAME-OPTIONS:DENY。详见:http://drops.wooyun.org/papers/104

        2、客户端使用setAllowFileAccess(false)方法禁止webview访问本地域。详见:setAllowFileAccess(boolean)

        3、客户端使用onPageStarted (WebView view, String url, Bitmap favicon)方法在跳转前进行跨域判断。

        4、客户端对iframe object标签属性进行过滤。

      详情可参考:http://www.80vul.com/webzine_0x06/PSTZine_0x06_0x05.txt

  • 相关阅读:
    推自己的镜像到网易云
    supervisord常见问题
    supervisord的配置
    一文解读SDN (转)
    一文解读ZooKeeper (转)
    使用 Docker 和 Nginx 打造高性能的二维码服务 (转)
    一文解读Docker (转)
    一文解读分布式架构 (转)
    一文解读分布式事务 (转)
    一文读懂工业大数据 (转)
  • 原文地址:https://www.cnblogs.com/harry335/p/5194942.html
Copyright © 2011-2022 走看看