本地拒绝服务漏洞修复建议

 

1. 阿里聚安全建议将不必要的导出的组件设置为不导出

      出于安全考虑,阿里聚安全应将不必要的组件导出,防止引起拒绝服务,尤其是杀毒、安全防护、锁屏防盗等安全应用; 在AndroidMenifest.xml文件中,将相应组件的“android:exported”属性设置为“false”,如下示例:

<activity android:name="MyActivity"
        android:exported="false">
    <intent-filter>
        <action android:name="android.intent.action_TEST"/>
    </intent-filter>
</activity>

2. 阿里聚安全建议intent处理数据时进行捕获异常

      阿里聚安全建议处理通过Intent.getXXXExtra()获取的数据时进行以下判断,以及用try catch方式进行捕获所有异常,以防止应用出现拒绝服务漏洞:
      1) 空指针异常;
      2) 类型转换异常;
      3) 数组越界访问异常;
      4) 类未定义异常;
      5) 其他异常;



引用
[1] http://developer.android.com/reference/android/content/Intent.html

[2] Android APP 通用型拒绝服务漏洞分析报告

posted on 2016-03-21 10:26  antyi  阅读(483)  评论(0编辑  收藏  举报

导航