android安全风险分析,Android安全检测报告,等保测评过不了,提示风险
检测依据
《GB∕T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求》
《GB∕T 34975-2017 信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》
《GAT 1390.3-2017 信息安全技术 网络安全等级保护基本要求 第3部分:移动互联安全扩展要求》
《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》
《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》
《电子银行业务管理办法》
《电子银行安全评估指引》
《中国金融移动支付客户端技术规范》
《中国金融移动支付应用安全规范》
《移动互联网应用软件安全评估大纲》
《中华人民共和国网络安全法》
《移动互联网应用程序信息服务管理规定》
《移动互联网应用程序安全加固能力评估要求与测试方法》
3.3.2 数据库注入漏洞
解决方案:不要使用拼接字符串形式构造的SQL语句去查询底层SQLite数据库,建议使用参数化查询方式来查询数据库。 修复代码示例如下: String sql = "SELECT * FROM table where name=?" ; sqldb.rawQuery(sql, new String[]{et_name.getText().toString()});
我并没有使用SQLite,也没有选择这个权限模块**
3.3.5 AES/DES加密算法不安全使用风险
解决方案:使用AES/DES算法时,当使用CBC和CFB工作模式。
3.3.6 RSA加密算法不安全使用风险
解决方案:1.使用RSA算法进行数字签名时,建议密钥长不要低于512位,推荐1024位。
2.使用RSA加密时,如果设置工作模式为ECB,建议填充方式为OAEPWithSHA256AndMGF1Padding。
3.3.13 SD卡数据泄露风险
解决方案:对数据进行持久化存储的时候,尽量避免重要信息存放在外部设备(SD卡)上。
3.4.5 动态注册Receiver风险
解决方案:1.在 AndroidManifest.xml 文件中静态注册 BroadcastReceiver,同时设置 exported="false"。
2.必须动态注册 BroadcastReceiver时,使用registerReceiver(BroadcastReceiver, IntentFilter, broadcastPermission,android.os.Handle)函数注册。
3.6.2 截屏攻击风险
解决方案:在Activity的oncreate()方法中调用getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);或者getWindow().addFlags(WindowManager.LayoutParams.FLAG_SECURE);达到防止截屏攻击的目的。
3.7.1 Activity最小化特权检测
解决方案:开发者自查,设置AndroidManifest.xml文件中Activity组件EXPORTED属性为false,对于必须导出的组件必须限制于授权用户或者特定应用组件,并且尽量不包含任何的Intent Filter。
3.7.2 Service最小化特权检测
解决方案:开发者自查,设置AndroidManifest.xml文件中Service组件EXPORTED属性为false,对于必须导出的组件必须限制于授权用户或者特定应用组件,并且不要给未知名的Service传递Intent。
3.7.4 Broadcast Receiver最小化特权检测
解决方案:开发者自查,设置AndroidManifest.xml中的Broadcast Receiver组件EXPORTED属性为false,对于必须导出的组件必须限制于授权用户或者特定应用组件。
3.7.11 Intent Scheme URL攻击漏洞
建议开发者使用Intent.parseUri函数,获取的Intent必须严格过滤,Intent至少包含addCategory(“android.intent.category.BROWSABLE”)、setComponent(null)、setSelector(null)3个策略。
3.8.11 未使用编译器堆栈保护技术风险
建议开发者使用gcc编译时,使用以下参数gcc -o demo demo.c -fstack -protector -all;或者使用NDK编译SO文件时,在Android.mk文件中增加以下参数LOCAL_CFLAGS := -Wall -O2 -U_FORTIFY_SOURCE -fstack-protector-all
android安全风险分析,Android安全检测报告,等保测评过不了,提示风险相关推荐
- 国内android应用商城中程序隐私泄露分析,Android应用程序隐私数据泄露检测
摘要: Android智能手机中存储着用户的隐私数据,这些隐私数据泄露,会使用户蒙受经济损失及人身伤害.然而,目前第三方应用软件市场中存在许多恶意软件或漏洞软件,但现有的对Android应用软件检测技 ...
- 关于openGL, openGL ES, openVG及android中2D调用关系的报告
关于openGL, openGL ES, openVG及android中2D调用关系的报告 http://blog.chinaunix.net/u3/99423/showart_2203591.htm ...
- Android项目源码质量检测
摘要:通过工具对Android项目源码进行质量检测 从开发的角度来讲,一款软件的优秀与否,除了与软件整体架构有关,还决定于开发者的编码是否规范以及能否对相关平台特性的充分利用.对于软件的整体架构,目前 ...
- android应用课程设计报告,基于Android的多媒体播放器课程设计报告.doc
基于Android的多媒体播放器课程设计报告.doc 基于Android的多媒体播放器课程设计报告2014-01-02 224652 转载标签 android多媒体播放器嵌入式课程设计报告it分类 我 ...
- 简单android音乐播放器课程设计,android音乐播放器课程设计报告.doc
android音乐播放器课程设计报告 android音乐播放器课程设计报告 基于Android音乐播放器的设计与实现 滨江学院 <移动通信程序设计> 课程设计 题 目 院 系 专 业学生姓 ...
- Android studio无法连接识别检测各种模拟器和手机的问题 (万能方案)。
Android Studio运行程序时检测不到模拟器的解决方法: 赠送源码:GitHub - Pangu-Immortal/MagicWX:
- 解决Eclipse、Android Studio ADT AVD不能检测到手机
解决Eclipse.Android Studio ADT AVD不能检测到手机 Android开发时,经常会使用Eclipse或者Android Studio开发工具,在使用真机调试App ...
- Android 创建,删除,检测桌面快捷方式
2019独角兽企业重金招聘Python工程师标准>>> 参考 Android 创建快捷方式 Android 快捷方式动画 创建桌面快捷方式需权限 <uses-permissio ...
- android中如何通过代码检测是否有root权限?
2019独角兽企业重金招聘Python工程师标准>>> Android android中如何通过代码检测是否有root权限? while 3 票 1892 评论 (0) • 分享 • ...
最新文章
- 复制类中的属性值到另一个类的相同属性中
- web基础html元素制作web
- 海思Hi3516A(5)3D降噪
- 肖像:作家艺术家之一
- 【转】用BibTeX 写 Reference
- 组策略 之 恢复默认组策略对象命令
- 计算机用户文件夹怎么改名称,win10修改用户名文件夹方法_win10怎么改用户文件夹名称-win7之家...
- Linux 命令(98)—— basename 命令
- HTML示例04---文字
- 创建 maven maven-archetype-quickstart 项目抱错问题解决方法
- 对称加密算法和非对称加密算法介绍
- 专家全方位剖析网页木马
- Mysql里有2000w数据,redis中只存20w数据,如何保证redis中的数据都是热点数据
- matlab中变压器的仿真,基于MATLAB的稳压变压器建模与仿真
- turtle实例2 奥运五环
- 【模型检测学习笔记】8:无限字上ω正则LT性质的验证
- linux下hg命令
- 公职人员财产公开_知道您的财产:Web设计人员/开发人员的薪资指南[比较]
- 机器学习之分类器性能指标之ROC曲线、AUC值
- android http 网关,安卓平台上实现基于HTTP协议数据网关的方法
热门文章
- html 水平柱形图,CSS实现柱形图效果的代码示例
- 人工智能原理——第一章 绪论
- Part 2 如何进行埋点(内附埋点文档模板)
- g711u g711a 格式相互转换
- github电脑壁纸_GitHub - jadepeng/bing-wallpaper: Bing每日壁纸,自动获取Bing的精美图片设置为壁纸,并且支持随机切换历史壁纸,查看壁纸故事...
- linux下tar命令解压缩,tar解压缩命令 Linux下的tar压缩解压缩命令详解
- 低代码平台如何打造个性化督办管理系统
- 【AI参赛经验】汉字书法识别入门—by:真的学不会
- 极简创意编程:第7课——制作人工智能花盆
- 《软技能--代码之外的生存指南》学习笔记之自我营销篇