本地拒绝服务漏洞修复建议
1. 阿里聚安全建议将不必要的导出的组件设置为不导出
出于安全考虑,阿里聚安全应将不必要的组件导出,防止引起拒绝服务,尤其是杀毒、安全防护、锁屏防盗等安全应用; 在AndroidMenifest.xml文件中,将相应组件的“android:exported”属性设置为“false”,如下示例:
<activity android:name="MyActivity" android:exported="false"> <intent-filter> <action android:name="android.intent.action_TEST"/> </intent-filter> </activity>
2. 阿里聚安全建议intent处理数据时进行捕获异常
阿里聚安全建议处理通过Intent.getXXXExtra()获取的数据时进行以下判断,以及用try catch方式进行捕获所有异常,以防止应用出现拒绝服务漏洞:
1) 空指针异常;
2) 类型转换异常;
3) 数组越界访问异常;
4) 类未定义异常;
5) 其他异常;
引用
[1] http://developer.android.com/reference/android/content/Intent.html
[2] Android APP 通用型拒绝服务漏洞分析报告