通过提高应用安全性,您可以帮助维护用户信任和设备完整性。
此页面介绍了 Android 应用开发者面临的一组常见安全问题。您可以通过以下方式使用此内容:
- 了解如何主动保护您的应用。
- 了解如何在您的应用中发现这些问题之一时做出反应。
以下列表包含指向每个单独问题的专用页面的链接,这些页面根据 OWASP MASVS 控制项按类别排序。每个页面都包含摘要、影响说明以及降低应用风险的技巧。
MASVS-STORAGE:存储
MASVS-CRYPTO:加密
MASVS-NETWORK:网络通信
MASVS-PLATFORM:平台交互
- 内容解析器
- 隐式意图劫持
- 不安全的 API 使用
- 不安全的广播接收器
- 意图重定向
- 基于权限的访问控制到导出的组件
- 挂起的意图
- 挂起意图的发件人
- 粘性广播
- StrandHogg 攻击/任务关联漏洞
- 点击劫持
- 不安全地使用深度链接
- WebView - 原生桥接
- android:debuggable
- android:exported
MASVS-CODE:代码质量
- 跨站脚本攻击
- 自定义权限
- createPackageContext
- 动态代码加载
- 错误地信任 ContentProvider 提供的文件名
- 不安全的 API 或库
- 不安全的机器到机器通信设置
- 备份的安全最佳实践
- 安全的剪贴板处理
- SQL 注入
- 测试/调试功能
- 不安全的反序列化
- 不安全的 HostnameVerifier
- 不安全的 X509TrustManager
- 使用原生代码
- XML 外部实体注入
- Webviews - 不安全的 URI 加载