公司APP在教育移动互联网应用程序备案管理平台上收到通报预警,陈列了部分需要解决的漏洞,陈列如下

1. 漏洞-动态注册Receiver风险

解决方法:

1.在 AndroidManifest.xml 文件中静态注册 BroadcastReceiver,同时设置 exported="false"。

2.必须动态注册 BroadcastReceiver时,使用registerReceiver(BroadcastReceiver, IntentFilter, broadcastPermission,android.os.Handle)函数注册。

2. 漏洞-WebView远程代码执行漏洞

解决方法:

如果一定要使用addJavascriptInterface接口,需使用以下方法:

1. 设置minSdkVersion值大于或等于17,使应用不能在4.2以下系统上运行。

2. 允许被JavaScript调用的函数必须以@JavascriptInterface进行注解。

3. 漏洞-WebView明文存储密码漏洞

解决方法:

建议开发者通过WebView.getSettings().setSavePassword(false)来关闭WebView组件的密码保存功能。

4. 漏洞-RSA加密算法不安全使用风险

解决方法:

1.使用RSA算法进行数字签名时,建议密钥长不要低于512位,推荐1024位。

2.使用RSA加密时,如果设置工作模式为ECB,建议填充方式为OAEPWithSHA256AndMGF1Padding。

5. 漏洞-密钥硬编码风险

解决方法:

1. 使用算法生成密钥。

2. 若不使用算法生成密钥,则使用参数的形式传递密钥,使密钥与加密算法不在同一函数中

6. 漏洞-数据库注入漏洞

解决方法:

1. 不必要导出的Provider组件,建议显示设置组件的“android:exported”属性为false。如果Provider组件需要与其他APP共享数据或者交互,请对组件进行权限控制和参数校验。

2. 不要在query中使用拼接字符串形式构造的SQL语句去查询底层SQLite数据库,使用selectionArgs进行参数化查询。 修复代码示例如下:

selection = "name=?";
String[] selectionArgs = new String[]{et_name.getText().toString()};
cursor = sqldb.query("addressbook", null, selection, selectionArgs, null, null, null, null);

7. 漏洞-0204

描述:

该应用存在滥用权限。 1:android.permission.RESTART_PACKAGES

2:android.permission.CHANGE_WIFI_STATE

3:android.permission.CHANGE_WIFI_MULTICAST_STATE

4:android.permission.BLUETOOTH

5:android.permission.RECORD_AUDIO

6:android.permission.WRITE_SETTINGS

解决方法:动态申请相应权限,必要时做出充分使用说明

APP部分漏洞及解决方法相关推荐

  1. 织梦 plus/download.php,织梦DedeCMS 5.7SP1 /plus/download.php url重定向漏洞的解决方法

    最近使用scanv网站体检发现有DedeCMS 5.7SP1 /plus/download.php url重定向漏洞(如下图),对比官方网站最新下载包发现该漏洞未进行补丁,但官方自身网站已经补上了,而 ...

  2. Android端App无法抓包解决方法——Drony

    Android端App无法抓包解决方法--安装Drony 1:安装drony (这里手机使用的Android设备) 2:开启代理抓包软件(Burpsuite) 3:配置drony转发 1:安装dron ...

  3. 【Mac】macOS无法验证此App不包含恶意软件 解决方法

    解决方法 Mac电脑打开app,提示无法验证此App不包含恶意软件解决方法

  4. 思科路由器发现重大漏洞,解决方法是……

    晚上好,我是老杨. 思科知名度高,待遇也好,很多网工心生向往,也有很多人考过思科认证的相关证书,对思科的印象还是不错吧? 而且,作为美国著名的网络设备厂商,思科是全球路由器巨头,很多企业使用的关键路由 ...

  5. WP_Image_Editor_Imagick 漏洞临时解决方法

    导读 阿里云推送的一条短信通知:存放在上面的WordPress程序有WP_Image_Editor_Imagick漏洞问题,需要登入后台补丁等等的暗示.当然,如果需要在线补丁则需要升级阿里云的安骑士专 ...

  6. xss防御补丁_Discuz论坛最新dom xss漏洞的解决方法

    无忧主机小编在日常处理客户网站问题时,经常遇到网站因为程序漏洞出现的问题.网站安全的发展,才能使得管理者放心营运.但是比较无奈的是,漏洞问题貌似屡见不鲜,就算再强大.再常用的程序,都会有诸如漏洞的问题 ...

  7. 小米运动显示同步到服务器失败,小米手环上的数据无法同步到手机APP上怎么办?解决方法看这里!...

    在人们的日常生活中,佩戴运动手环出门运动已经成为现代人们的日常,无论是上下班的计步,还是下班后去公园跑步.快走,不用携带大块头的手机,只需要佩戴上手环我们就可以轻松地去运动了,不仅运动起来更轻松,回家 ...

  8. 智能合约安全漏洞之区块链的时间戳依赖漏洞与解决方法

    漏洞原理 时间戳依赖是指智能合约的执行依赖于当前区块的时间戳,如果时间戳不同,那么合约的执行结果也有差别.智能合约中取得时间戳只能依赖某个节点(矿工)来做到.这就是说,合约中取得的时间戳是由运行其代码 ...

  9. Mac电脑打开app,提示无法验证此App不包含恶意软件解决方法

    在mac系统中安装自己下载的软件,经常会提示"无法打开,因为apple无法检查其是否包含恶意软件"无法使用,下面我们就来学习一下怎么解决这个问题. 解决方法一:(这个亲测可行,其他 ...

  10. 单例模式:基于反射和反序列化破解单例模式的漏洞及其解决方法

    单例模式使得在创建类对象的时候只创建一个对象实例.上一节讲解了五种实现单例模式的方式. 分别为:饿汉模式.懒汉模式.double check.静态内部类.枚举 但是基于反射和反序列化可以破解单例模式的 ...

最新文章

  1. sql语句分别按日,按周,按月,按季统计金额
  2. jQuery练习:表单模态框
  3. php libxml 宝塔,宝塔编译安装各个版本php无法安装
  4. java世博会,反应原生失去的世博会
  5. [react] childContextTypes是什么?它有什么用?
  6. python perl正则表达式_python学习笔记(正则表达式)
  7. URLConnection类
  8. 请问重定向与请求转发有什么区别?
  9. Wpf之无法添加wpf窗体
  10. 如何在旧 Mac 或 MacBook 上安装 Chrome 操作系统?
  11. 蓝桥杯 k倍区间(前缀和)
  12. rss feed for testing
  13. CHIP-seq流程学习笔记(11)-使用GSEA软件进行GSEA分析
  14. 组建局域网_局域网组建常用的网线种类解读
  15. 【IMX6UL开发板试用体验】上手试用与资源使用
  16. R语言ggplot2可视化:loess回归曲线可视化、填充两条 loess回归曲线之间的区域实战(Fill region between two loess-smoothed lines)
  17. 新闻分类(文本分类)
  18. led大屏按实际尺寸设计画面_新手必知LED显示屏尺寸规格及计算方法
  19. Anaconda 安装pkgs
  20. OSPF协议介绍及配置

热门文章

  1. 弹幕助手连接不到服务器,小葫芦obs弹幕助手怎么用 OBS弹幕助手使用教程
  2. RT-Thread Studio升级首推完美暗黑主题
  3. AI语音技术的应用与发展前景
  4. new Function的用法
  5. Roslyn 入门:使用 .NET Core 版本的 Roslyn 编译并执行跨平台的静态的源码
  6. 【利用VBA批量处理中望CAD的修改打印出PDF】
  7. cad沿线插入块 lisp_我有一组数有十几万个坐标点,如何利用lisp程序快速导入CAD中,并可以快速处理!...
  8. 文件共享服务器 域组访问设置权限,怎么对局域网所共享的文件进行访问权限管理...
  9. 安装西门子博图一直重启_博途V15.1安装及无限重启和.net3.5SP1错误处理解决方法...
  10. 穷查理宝典_穷查理宝典