本篇介绍了以下代码安全问题
1、Struts:错误验证方法
2、不安全的信息传输
3、缺少Receiver权限
4、缺少API权限
5、缺少Content Provider权限
6、缺少Intent权限
7、不安全的文件操作模式
8、固定的Session ID
9、系统信息泄露:外部
10、邮件服务器建立未加密的连接
1、Struts:错误验证方法
详细信息
该表单的验证方法validate()未调用父类的验证方法super.validate(),这将导致校验框架无法对照校验表单来校验表单中的内容。换言之,针对某个特定的表单,校验框架失效。输入检查是例如SQL注入、跨站脚本攻击、任意文件操纵等常见漏洞的基本防范手段。对表单来说,校验框架失效会使应用程序完全暴露在各种攻击之下。
修复建议
为表单定义一个验证方法validate()需要覆盖父类的验证方法super.validate()。struts校验框架使用表单的validate()方法,对照那些在相关校验表单中定义的约束条件来检测表单属性的内容,validate()是struts校验框架的一部分。
2、不安全的信息传输
详细信息
程序使用HTTP、FTP等协议进行通信,未对通信信息进行加密和验证,可能会受到危害,尤其是移动设备利用WiFi连接不安全的、公共的无线网络。
例如:下面代码片段中表示将使用HTTP进行连接,传递的敏感信息容易被攻击者窃取。
..