我正在开发一种扫描 Android 应用程序并显示其中发现的漏洞的工具。我被困在 OWASP 漏洞之一,即传输层保护不足。我无法找到易受攻击的代码来创建模式,以便我可以使用任何应用程序对其进行交叉检查。如果您有任何与此漏洞相关的易受攻击代码,请告诉我。
提前致谢
最佳答案
基本上您需要检查的是,网络上的操作是否使用了加密。
例如:是否为登录请求启用了 SSL/TLS?是否有任何其他敏感信息在网络上以明文形式传输? SSL 是否以安全方式配置(例如,没有 SSLv2)?等等。
您可以在 https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet 上找到列表在防止此特定漏洞时必须考虑的事项。
但是我认为很难检查是否有东西不存在......
我不熟悉 Android 编程,但我会寻找任何未加密的套接字创建或请求,因为这可能是此类漏洞。
祝你好运;-)
关于android - 代码级传输层保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15701648/