3
我正在開發一個工具,它可以掃描android應用程序並顯示在其中找到的漏洞。我被困在OWASP漏洞之一,即傳輸層保護不足。我無法找到易受攻擊的代碼來創建模式,以便我可以使用任何應用程序進行交叉檢查。如果您有任何與此漏洞相關的易受攻擊代碼,請告訴我。代碼級傳輸層保護
在此先感謝
Q
代碼級傳輸層保護
A
回答
0
基本上你要檢查什麼,閹加密用於在網絡上操作。
例如:是否爲登錄請求啓用了SSL/TLS?是否還有其他敏感信息通過網絡以明文形式傳輸?是否以安全的方式配置了SSL(例如,沒有SSLv2)?等等。
你可以在https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet上找到一個列表,以防止這種特定的漏洞。
但是我認爲這是相當困難的檢查,如果事情是不存在的...
我不熟悉的Android編程,但我會尋找任何加密套接字創建或要求,因爲這可能是這種的脆弱性。
祝你好運;-)
相關問題
- 1. 保護的根和中級證書密鑰存儲傳輸層安全(TLS)
- 2. 保護Ruby代碼
- 3. PHP - 保護代碼
- 4. node.js代碼保護
- 5. 保護PHP代碼
- 6. 源代碼保護
- 7. 保護Ruby代碼
- 8. 在代碼級別或Nginx級別保護OTP API?
- 9. 瞭解保護Firebase代碼
- 10. 如何保護代碼?
- 11. 保護android源代碼
- 12. 保護DLL的源代碼
- 13. 隱藏/保護Python代碼
- 14. 保護Excel的VBA代碼
- 15. 履歷保護代碼
- 16. 如何保護php代碼?
- 17. 如何保護源代碼?
- 18. Oracle - 保護源代碼
- 19. 保護Android源代碼
- 20. 保護我的代碼?
- 21. 保護AngularJS源代碼
- 22. 如何保護Javascript代碼?
- 23. 保護PHP源代碼
- 24. 保護源代碼段
- 25. 保護PHP MySQL代碼
- 26. PHP代碼保護庫
- 27. Excel:多級保護
- 28. systemOrSignature保護級別
- 29. 密碼保護的SAS代碼
- 30. 保護雲中的MongoDB傳輸
你在做靜態或動態分析? – thejh
我正在做靜態分析 – user2223987
不要android API通常確保當你做https時,你用CN驗證來做它嗎?當然,有時候「足夠的保護」意味着你要對證書進行硬編碼,這樣正常的CA就不能MITM了,但這取決於上下文,所以你將無法自動檢查它。 – thejh