3

我正在开发一种工具,它可以扫描 android 应用程序并显示其中发现的漏洞。我被困在 OWASP 漏洞之一,即传输层保护不足。我无法找到易受攻击的代码来创建模式,以便我可以使用任何应用程序对其进行交叉检查。如果您有任何与此漏洞相关的易受攻击的代码,请告诉我。

提前致谢

4

1 回答 1

0

基本上你必须检查的是,加密是否用于网络上的操作。

例如:是否为登录请求启用了 SSL/TLS?是否有任何其他敏感信息通过网络以明文形式传输?SSL 是否以安全的方式配置(例如,没有 SSLv2)?等等。

您可以在https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet上找到一个列表,在防止此特定漏洞时您必须考虑什么。

但是我认为很难检查是否存在某些东西......

我不熟悉 Android 编程,但我会寻找任何未加密的套接字创建或请求,因为这可能就是这种漏洞。

祝你好运 ;-)

于 2013-06-16T15:00:07.730 回答