Android安全-其他安全2-常见漏洞

Android安全-其他安全2-常见漏洞

（1）SQL注入

　　使用字符串连接方式构造SQL语句就会产生SQL注入。

　　解决方法：使用参数化查询。

（2）Logcat泄露用户敏感信息。

（3）恶意的广告包插件（可能存在后门、WebView漏洞等）

（4）UXSS漏洞：

      　　UXSS漏洞可以绕过同源策略访问存储在Android应用目录/data/data/[应用包名]/下的所有内容。

　　　　如果产生该漏洞的是web浏览器，则攻击者可以利用该漏洞窃取浏览器存储的所有cookie信息以及其它信息。

　　　　测试代码：

　　　　代码地址：https://github.com/click1/uxss

　　　　在线测试地址：http://uxss.sinaapp.com/index.php

　　　　解决方法：

　　　　1、服务端禁止iframe嵌套X-FRAME-OPTIONS:DENY。详见：http://drops.wooyun.org/papers/104

　　　　2、客户端使用setAllowFileAccess(false)方法禁止webview访问本地域。详见：setAllowFileAccess(boolean)

　　　　3、客户端使用onPageStarted (WebView view, String url, Bitmap favicon)方法在跳转前进行跨域判断。

　　　　4、客户端对iframe object标签属性进行过滤。

　　详情可参考：http://www.80vul.com/webzine_0x06/PSTZine_0x06_0x05.txt