Skip to content
体验新版
项目
组织
正在加载...
登录
切换导航
打开侧边栏
DCloud
unidocs-zh
提交
fa49e80d
unidocs-zh
项目概览
DCloud
/
unidocs-zh
通知
3182
Star
105
Fork
807
代码
文件
提交
分支
Tags
贡献者
分支图
Diff
Issue
93
列表
看板
标记
里程碑
合并请求
69
DevOps
流水线
流水线任务
计划
Wiki
0
Wiki
分析
仓库
DevOps
项目成员
Pages
unidocs-zh
项目概览
项目概览
详情
发布
仓库
仓库
文件
提交
分支
标签
贡献者
分支图
比较
Issue
93
Issue
93
列表
看板
标记
里程碑
合并请求
69
合并请求
69
Pages
DevOps
DevOps
流水线
流水线任务
计划
分析
分析
仓库分析
DevOps
Wiki
0
Wiki
成员
成员
收起侧边栏
关闭侧边栏
动态
分支图
创建新Issue
流水线任务
提交
Issue看板
提交
fa49e80d
编写于
10月 08, 2023
作者:
hbcui1984
浏览文件
操作
浏览文件
下载
电子邮件补丁
差异文件
修改 uni安全加固 链接地址
上级
824ee438
变更
1
隐藏空白更改
内联
并排
Showing
1 changed file
with
18 addition
and
18 deletion
+18
-18
docs/tutorial/app-sec-android.md
docs/tutorial/app-sec-android.md
+18
-18
未找到文件。
docs/tutorial/app-sec-android.md
浏览文件 @
fa49e80d
...
...
@@ -2,7 +2,7 @@
首先我们需要理解漏洞风险并不代表真实存在安全漏洞,比如
[
WebView远程代码执行漏洞
](
#webview_jsinterface
)
,仅在Android4.2及以下版本系统存在,目前HBuilderX发现App最低要求版本Android4.4;比如
[
Activity、Service、Receiver等组件导出风险
](
#export
)
,有些功能依赖的组件必须设置为导出,实际上并不存在安全问题。而安全平台会把所有可能存在的漏洞或风险都列出来,很多安全问题都可能是误报或夸大了安全漏洞的隐患。
**因此对于存在漏洞风险问题的基本解决方案是使用`APK加固`,推荐[uni安全加固](
https://dev.dcloud.net.cn/uni_modules/uni-trade/pages/account/account?pcd=tcb_app_csdn_serv
)其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云**
**因此对于存在漏洞风险问题的基本解决方案是使用`APK加固`,推荐[uni安全加固](
/uni-app-security.md
)其背后支持对接多个加固服务商,包括腾讯云和蚂蚁小程序云**
如果加固还不能解决问题,或者安全平台要求加固前进行检测,请在
[
官方论坛ask
](
https://ask.dcloud.net.cn/explore/
)
发帖反馈,添加话题为“安全漏洞”、“安全检测”,上传完整安全检测报告及检测的apk文件。
...
...
@@ -175,20 +175,20 @@ StrandHogg之所以独特,是因为它无需进行植根即可启用复杂的
}
}
```
#### 未配置网络安全属性漏洞
**风险描述**
从Nougat(Android 7) 一个名为“Network Security Configuration'的新安全功能也随之而来。如果应用程序的 SDK高于或等于24,则只有系统证书才会被信任。Android Network Security Configuration 功能提供了一个简单的层,用来保护应用程序在未加密的明文中意外传输的敏感数据。可以针对特定域和特定应用配置这些设置。如缺少networkSecurityConfig 特性,应用程序将使用系统默认安全配置,致使应用程序在不安全的定制 ROM 上运行时可能遭受恶意网络攻击。
**修复方案**
+
根据Android平台
[
网络安全配置文档
](
https://developer.android.google.cn/training/articles/security-config?hl=zh-cn
)
生成
`network_security_config.xml`
配置文件
+
通过HBuilderX实现networkSecurityConfig配置!参考
[
Android原生应用清单文件和资源文档
](
https://uniapp.dcloud.net.cn/tutorial/app-nativeresource-android.html
)
+
将
`network_security_config.xml`
文件拷贝到应用资源
`nativeResources\android\res\xml`
目录下
+
配置
`AndroidManifest.xml`
中application节点!添加networkSecurityConfig属性配置。配置参考如下:
```
<application android:networkSecurityConfig="@xml/network_security_config"
... >
...
</application>
```
\ No newline at end of file
#### 未配置网络安全属性漏洞
**风险描述**
从Nougat(Android 7) 一个名为“Network Security Configuration'的新安全功能也随之而来。如果应用程序的 SDK高于或等于24,则只有系统证书才会被信任。Android Network Security Configuration 功能提供了一个简单的层,用来保护应用程序在未加密的明文中意外传输的敏感数据。可以针对特定域和特定应用配置这些设置。如缺少networkSecurityConfig 特性,应用程序将使用系统默认安全配置,致使应用程序在不安全的定制 ROM 上运行时可能遭受恶意网络攻击。
**修复方案**
+
根据Android平台
[
网络安全配置文档
](
https://developer.android.google.cn/training/articles/security-config?hl=zh-cn
)
生成
`network_security_config.xml`
配置文件
+
通过HBuilderX实现networkSecurityConfig配置!参考
[
Android原生应用清单文件和资源文档
](
https://uniapp.dcloud.net.cn/tutorial/app-nativeresource-android.html
)
+
将
`network_security_config.xml`
文件拷贝到应用资源
`nativeResources\android\res\xml`
目录下
+
配置
`AndroidManifest.xml`
中application节点!添加networkSecurityConfig属性配置。配置参考如下:
```
<application android:networkSecurityConfig="@xml/network_security_config"
... >
...
</application>
```
编辑
预览
Markdown
is supported
0%
请重试
或
添加新附件
.
添加附件
取消
You are about to add
0
people
to the discussion. Proceed with caution.
先完成此消息的编辑!
取消
想要评论请
注册
或
登录