08 2021 档案
摘要:这一章我们来学习“日志信息泄露”,此项在检测手段上可以采取动静结合的方式进行检测,在第三方检测平台一般采用静态检测且存在误报率。 一、漏洞原理 开发者在开发应用时,通常都会埋点(插入日志)进行调试,若没有对日志信息进行管理那么就有可能导致敏感信息泄露的风险,给攻击者提供了便利。例如:通信交互的日志,
阅读全文
摘要:这一章我们来学习“动态注册Receiver风险”,此项在安全检测平台上检测出的结果存在一定的报错率,一般需要三方检测平台或者开发者进行复核,这里我们研究如何避免此项风险。 一、漏洞原理 广播的注册分为静态注册和动态注册,使用registerReceiver方法进行注册的广播是动态广播(Boradca
阅读全文
