直面するAPPの脅威
APPは、アイデアを評価します
APPの自動テストのアイデア
安全テストポイント
証明書と署名
- APKファイルは、ZIP名前が変更されます
- 解凍解凍の使用
- META-INFは、署名ファイルと実際のCERT.RSAファイル(公開鍵、自己署名証明書)が含まれてい
- 証明書の内容を表示するには、keytoolツールを使用して、
keytool -printcert -file META-INF/CERT.RSA
- META-INF / CERT.SFとして
Allowbackupの脆弱性
AllowBackupのAndroidManifest.xmlファイルの属性値がtrueに設定されています。allowBackupフラグがtrueの場合、ユーザーがデータをバックアップするためのadbバックアップアプリケーションによって行うことができ、ユーザー・データの重大な漏れが生じ、いかなる状況の下で、アプリケーションのルートに格納されているすべてのデータをエクスポートすることができます。
是正勧告は、
Androidのパラメータになります。allowBackupプロパティがfalseに設定され、アプリケーションデータをバックアップすることはできません。
WebViewの脆弱性
WebViewのアプリケーションの脆弱性は、Javaクラスを登録する方法がないが、制限を呼んで存在する、攻撃者は、デバイス攻撃に任意のJavaScriptコードにつながる、登録されていない他のJavaクラスを呼び出すためにリフレクションを使用することができます。
是正勧告
書上記のJavaリモートメソッドでaddjavascriptInterface代わり@JavascriptInterfaceすることにより、
橋、各着信パラメータ、シールド攻撃コードを検証する必要性をjs2javaを使用して;
注:DOはjs2javaとして使用したり、関連当局のコントロールではありません橋。
主なデータは平文で送信されます
ログオンプロセス中にアプリケーションは、暗号化されていないクリアテキストのユーザー名とパスワード、ユーザー名とパスワードで送信httpプロトコルを使用しています。ネットワークデータを監視することで、ユーザー情報、ユーザーへのセキュリティリスクの開示、その結果、ユーザー名とパスワードのデータを傍受することができます。
是正勧告
機密情報の送信中に機密情報を扱うためには暗号化されています。
任意のアカウント登録
- 133 * 887 APP登録した電話番号を使用して、検証コード46908を取得します。
- 提出を確認すると、要求をインターセプトし、登録電話番号を変更するには、任意のアカウントを登録することができ、ここで* 678 1338(任意の電話番号)に改訂されました。
是正勧告は
、登録プロセスの最終確認を提出する際、サーバーはアカウントが認証コードの電話番号を提出するために発行されていることを確認する必要があります。