Android应用安全系列 part 20 – 客户端注入

客户端注入在owasp mobile top 10中排名第七

(1)JS代码注入:手机端浏览器也会存在JS注入。安卓默认浏览器会访问手机应用中的cookie。

如果你手机登录了google账号,当你使用浏览器时会自动以google账号登录而不需要认证。

(2)一些应用接口或语言函数会接收数据,可以被fuzz从而造成应用崩溃。尽管多数此漏洞不会导致溢出攻击因为android平台代码是托管的,但在漏洞攻击链中有几个用户态的exp旨在对设备进行root和越狱。

(3)移动或应用中恶意软件会对表示层(HTML,JS,CSS)发起二进制攻击,或瞄准移动应用中可执行二进制程序。这些代码注入通过移动应用框架或运行时二进制来执行。

如何修复?

(1)SQL Injection:在使用动态查询或内容提供器时,确保使用参数化查询。

(2)JavaScript Injection (XSS): 确保webviews禁用JS和插件支持(默认开启)

(3)Local File Inclusion:确保webviews禁用文件系统访问(设置webview.getSettings().setAllowFileAccess(false);)

(4)Intent Injection/Fuzzing:确保所有活动Intent过滤器中的动作和数据都是有效的

参考

OWASP Top 10 2014 – M7

您可能还喜欢...