本篇介绍了以下代码安全问题
1、服务器端模板注入
2、公式注入
3、NoSQL注入:MongoDB
4、不安全的反序列化:JSON
5、数据库访问控制
6、Android Provider访问控制
7、通过共享存储安装APK
8、格式化缺陷
9、存储型XSS
10、反射型XSS
1、服务器端模板注入
详细信息
模板引擎是为了使用户界面与业务数据分离而产生的,它可以生成特定格式的文档。当系统使用不可信数据作为模板时,则可能暴露系统上下文数据,甚至导致运行任意代码执行。
例如:下面代码片段中使用了 Velocity作为模板引擎,将不可信数据作为检索模板。
VelocityContext ctx = new VelocityContext();
ctx.put( "name", user.name )