我很好奇 Fortify 规则集在 Android 应用程序中寻找哪些漏洞。不幸的是,我找不到任何相关文档。我知道他们会四处寻找 Java 特定的漏洞以及组件的权限检查——还有什么?SQL注入检查?意图检查?
user277465
问问题
5489 次
2 回答
7
除了所有常规 Java 规则外,还有针对以下类别的 Android 特定规则:
代码质量:
Android 不良做法 - 使用已发布的相机
Android 不良做法 - 使用已发布的 SQLite 资源
Android 不良做法 - 使用已发布的媒体资源
未发布的资源 - Android 媒体
封装:
不安全的存储——Android外部存储
系统信息泄露
输入验证和表示:
命令注入
交叉:站点脚本 - 持久
交叉:站点脚本 - 不良验证
交叉:站点脚本 - 反射
标头操作 - Cookie
日志伪造
路径操作
查询字符串注入 - Android 提供程序
资源注入
SQL 注入
安全功能:
访问控制 - Android 提供商
访问控制 - 数据库
Android 不良做法 - 缺少广播者权限
Android 不良做法 - 缺少接收者权限
Android 不良做法 - 粘性广播
密码管理
密码管理 - 空密码
密码管理 - 硬编码密码
密码管理 - 空密码
密码管理 - 弱加密
隐私违规
权限管理 - Android 位置
权限管理 - Android 消息传递
权限管理 - Android 电话
权限管理 - 缺少 API 权限
权限管理 - 缺少内容提供者权限
权限管理 - 缺少意图权限
于 2012-10-16T18:16:05.133 回答
1
于 2013-12-05T19:50:34.660 回答