我很好奇 Fortify 规则集在 Android 应用程序中寻找哪些漏洞。不幸的是,我找不到任何相关文件。我知道他们四处寻找 Java 特定的漏洞以及组件的权限检查——还有其他吗? SQL注入(inject)检查? Intent 检查?
最佳答案
除了所有常规的 Java 规则外,还有针对以下类别的 Android 特定规则:
代码质量:
Android 不良做法 - 使用已发布的相机
Android 不良做法 - 使用已发布的 SQLite 资源
Android 不良做法 - 使用已发布的媒体资源
未发布的资源 - Android 媒体
封装:
不安全的存储 - Android 外部存储
系统信息泄露
输入验证和表示:
命令注入(inject)
Cross:站点脚本 - 持久性
Cross:站点脚本 - 验证不佳
Cross:站点脚本 - 反射(reflect)
标题操作 - Cookies
原木锻造
路径操作
查询字符串注入(inject) - Android 提供程序
资源注入(inject)
SQL注入(inject)
安全功能:
访问控制 - Android 提供商
访问控制 - 数据库
Android 不良做法 - 缺少广播者权限
Android 不良做法 - 缺少接收者权限
Android 不良做法 - 粘性广播
密码管理
密码管理-清空密码
密码管理 - 硬编码密码
密码管理-空密码
密码管理-弱密码学
侵犯隐私
权限管理 - Android Location
权限管理 - 安卓消息
权限管理 - Android 电话
权限管理 - 缺少 API 权限
权限管理 - 缺少内容提供者权限
权限管理 - 缺少 Intent 权限
关于android - 强化 Android 检查,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12832957/