360dev 360APP漏洞掃描

360APP漏洞掃描

一、    產(chǎn)品介紹

360APP漏洞掃描引擎，是基于360安全大數(shù)據(jù)分析積累，通過數(shù)據(jù)流跟蹤、靜態(tài)特征審計(jì)、智能測試及漏洞驗(yàn)證等三核引擎對應(yīng)用進(jìn)行全方位的安全檢測，對移動(dòng)應(yīng)用的程序安全、數(shù)據(jù)安全、業(yè)務(wù)邏輯安全、系統(tǒng)環(huán)境安全，集成插件安全調(diào)用等進(jìn)行全方面的檢測和評估。確保第一時(shí)間發(fā)現(xiàn)應(yīng)用可能存在的風(fēng)險(xiǎn)

特    點(diǎn)：

l  三核引擎全方位檢測：采用數(shù)據(jù)流跟蹤和特征分析的方法進(jìn)行靜態(tài)審計(jì)，并且使用動(dòng)態(tài)方法進(jìn)行智能模糊測試和漏洞驗(yàn)證，結(jié)果更準(zhǔn)確

l  風(fēng)險(xiǎn)漏洞多維度提示：覆蓋程序安全、數(shù)據(jù)安全、業(yè)務(wù)邏輯安全、系統(tǒng)環(huán)境安全，集成插件安全等多個(gè)維度的風(fēng)險(xiǎn)漏洞多達(dá)44項(xiàng)

l  云端服務(wù)深層次分析：基于強(qiáng)大的服務(wù)器集群及手機(jī)集群，審計(jì)結(jié)果輸出更及時(shí)。采用真實(shí)手機(jī)進(jìn)行動(dòng)態(tài)掃描，完全模擬手機(jī)應(yīng)用的運(yùn)行時(shí)環(huán)境，審計(jì)結(jié)果更準(zhǔn)確

二、    常見風(fēng)險(xiǎn)漏洞

常見漏洞

漏洞名稱: Log敏感信息泄露

漏洞描述: 程序運(yùn)行期間打印了用戶的敏感信息，造成泄露

修改建議: 建議禁止隱私信息的log

漏洞名稱: web https校驗(yàn)錯(cuò)誤忽略漏洞

漏洞描述: 漏洞可導(dǎo)致中間人攻擊

修改建議: 建議不要忽略ssl認(rèn)證錯(cuò)誤

漏洞名稱: sql注入漏洞

漏洞描述: 漏洞可能導(dǎo)致用戶數(shù)據(jù)庫中的信息泄露或者篡改

修改建議: 建議使用安全sqlite，如sqlcipher

漏洞名稱: https空校驗(yàn)漏洞

漏洞描述: 漏洞可導(dǎo)致中間人攻擊

修改建議: setHostnameVerifier接口請?jiān)O(shè)置安全選項(xiàng)級別

漏洞名稱: Provider組件暴露漏洞

漏洞描述: 沒有權(quán)限限制的導(dǎo)出組件可以使其他app訪問本程序的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)泄露

修改建議: 建議增加權(quán)限限制

漏洞名稱: Fragment注入漏洞

漏洞描述: 漏洞導(dǎo)致通過intent輸入適當(dāng)?shù)膃xtra就可以調(diào)用其內(nèi)部的任意fragment

修改建議: 不要導(dǎo)出PreferenceActivity

漏洞名稱: WebView遠(yuǎn)程代碼執(zhí)行（CVE-2014-1939）

漏洞描述: 在4.0至4.2的Android系統(tǒng)上，Webview會增加searchBoxJavaBredge_，導(dǎo)致遠(yuǎn)程代碼執(zhí)行。攻擊者可以向頁面植入Javascript，通過反射在客戶端中執(zhí)行任意惡意代碼

修改建議: 在Webview中調(diào)用removeJavascriptInterface("searchBoxJavaBredge_")

漏洞名稱: ContentResolver暴露漏洞

漏洞描述: 通過暴露的ContentResolver可以繞過provider的權(quán)限限制

修改建議: 對使用ContentResolver的組件不導(dǎo)出或者添加權(quán)限限制

漏洞名稱: https通信沒有校驗(yàn)服務(wù)器證書

漏洞描述: 應(yīng)用沒有校驗(yàn)服務(wù)器證書，可導(dǎo)致中間人攻擊，泄露通信內(nèi)容

修改建議: 不要重寫TrustManager類，或者實(shí)現(xiàn)checkServerTrusted,增加對服務(wù)器證書的校驗(yàn)

漏洞名稱: https通信允許所有的服務(wù)器證書

漏洞描述: 應(yīng)用沒有校驗(yàn)服務(wù)器證書，可導(dǎo)致中間人攻擊，泄露通信內(nèi)容

修改建議: 不要調(diào)用setHostnameVerifier設(shè)置ALLOW_ALL_HOSTNAME_VERIFY標(biāo)志位

漏洞名稱: Activity安全漏洞

漏洞描述: Activity存在崩潰或者異常，任意其它應(yīng)用可導(dǎo)致存在此漏洞的應(yīng)用崩潰或者功能調(diào)用

修改建議: 對傳給Activity的intent中的參數(shù)進(jìn)行嚴(yán)格的檢測，如無必要不要導(dǎo)出這個(gè)Activity

漏洞名稱: WebView遠(yuǎn)程代碼執(zhí)行（CVE-2012-6636）

漏洞描述: JavascriptInterface允許攻擊者向頁面植入Javascript，通過反射在客戶端中執(zhí)行任意惡意代碼。所有應(yīng)用在4.2以下的應(yīng)用會受影響，編譯API level 小于17的應(yīng)用在全部系統(tǒng)中都受影響

修改建議: 若應(yīng)用編譯時(shí)API level小于17，需要提升SDK版本。如果希望4.2以下的手機(jī)不受影響，可以參考替代方案https://github.com/pedant/safe-java-js-webview-bridge

漏洞名稱: Service安全漏洞

漏洞描述: Service存在崩潰或者異常，任意其它應(yīng)用可導(dǎo)致存在此漏洞的應(yīng)用崩潰或者功能調(diào)用

修改建議: 對傳給Service的intent中的參數(shù)進(jìn)行嚴(yán)格的檢測，如無必要不要導(dǎo)出這個(gè)Service

漏洞名稱: 使用不安全的加密模式

漏洞描述: 使用AES或者DES加密時(shí)，使用的默認(rèn)加密模式或者顯式指定使用ECB模式.容易受到選擇明文攻擊(CPA)，造成信息泄露

修改建議: 顯式指定使用CBC模式加密

漏洞名稱: Receiver安全漏洞

漏洞描述: BroadcastReceiver存在崩潰或者異常，任意其它應(yīng)用可導(dǎo)致存在此漏洞的應(yīng)用崩潰或者功能調(diào)用

修改建議: 對傳給BroadcastReceiver的intent中的參數(shù)進(jìn)行嚴(yán)格的檢測，如無必要不要導(dǎo)出這個(gè)Receiver

漏洞名稱: 加密時(shí)不能指定IV

漏洞描述: CBC加密時(shí)，使用了常量作為IV，可被進(jìn)行BEAST攻擊，造成信息泄露

修改建議: 動(dòng)態(tài)生成IV的數(shù)值

漏洞名稱: 存在外部可訪問的表單

漏洞描述: 應(yīng)用中存在外部可訪問的表單，造成信息泄露

修改建議: 審核這些表單的訪問權(quán)限，如果非必要不要導(dǎo)出

漏洞名稱: 私有文件遍歷漏洞

漏洞描述: 通過存在漏洞的URI,可以遍歷讀取應(yīng)用的私有數(shù)據(jù)文件，造成信息泄露

修改建議: 修改存在文件遍歷漏洞的URI的ContentProvider的實(shí)現(xiàn),對輸入進(jìn)行嚴(yán)格的檢測和過濾

漏洞名稱: Selection SQL注入漏洞

漏洞描述: 應(yīng)用存在Selection SQL注入漏洞，會導(dǎo)致存儲在ContentProvider中的數(shù)據(jù)被泄漏和篡改

修改建議: 修改存在注入漏洞的URI的ContentProvider的實(shí)現(xiàn),對輸入進(jìn)行嚴(yán)格的檢測和過濾

漏洞名稱: Projection SQL注入漏洞

漏洞描述: 應(yīng)用存在Projection SQL注入漏洞，會導(dǎo)致存儲在ContentProvider中的數(shù)據(jù)被泄漏和篡改

修改建議: 修改存在注入漏洞的URI的ContentProvider的實(shí)現(xiàn),對輸入進(jìn)行嚴(yán)格的檢測和過濾

漏洞名稱: 存在可被惡意訪問的表單

漏洞描述: 存在可以利用SQL注入方式訪問的表單，造成信息泄露

修改建議: 修復(fù)相關(guān)的SQL注入漏洞

漏洞名稱: 同源繞過漏洞

漏洞描述: activity接收使用file://路徑的協(xié)議，卻沒有禁用Javascript的執(zhí)行，通過此漏洞可以讀取應(yīng)用的任意內(nèi)部私有文件，造成信息泄露

修改建議: 禁用file協(xié)議或禁止file協(xié)議加載的文件執(zhí)行Javascript

漏洞名稱: 本地代碼執(zhí)行漏洞

漏洞描述: Activity接受外部傳入的url參數(shù)，且存在WebView遠(yuǎn)程代碼。攻擊者可從本地或者遠(yuǎn)程對客戶端進(jìn)行注入，執(zhí)行任意惡意代碼

修改建議: 不要導(dǎo)出此Activity，或者對接受的url參數(shù)進(jìn)行嚴(yán)格判斷

常見風(fēng)險(xiǎn)

風(fēng)險(xiǎn)名稱: app備份風(fēng)險(xiǎn)

風(fēng)險(xiǎn)描述: 允許程序備份，可能導(dǎo)致用戶信息泄露

修改建議: 如果不需要備份則添加allowBackup=false，或者實(shí)現(xiàn)加密備份

風(fēng)險(xiǎn)名稱: Log信息泄露

風(fēng)險(xiǎn)描述: 程序運(yùn)行期間的log數(shù)據(jù)可能泄露

修改建議: 建議發(fā)布版去掉log信息

風(fēng)險(xiǎn)名稱: Intent泄露用戶敏感信息

風(fēng)險(xiǎn)描述: Intent數(shù)據(jù)包含用戶的敏感信息，可能導(dǎo)致泄露

修改建議: 將敏感信息加密，采用權(quán)限限制Intent的范圍

風(fēng)險(xiǎn)名稱: Receiver組件暴露風(fēng)險(xiǎn)

風(fēng)險(xiǎn)描述: 廣播可被外部調(diào)用導(dǎo)致敏感信息泄露

修改建議: 無需暴露的組件請?jiān)O(shè)置exported=false；若需要外部調(diào)用，建議添加自定義signature或signatureOrSystem級別的私有權(quán)限保護(hù)；需要暴露的組件請嚴(yán)格檢查輸入?yún)?shù)，避免應(yīng)用出現(xiàn)拒絕服務(wù)。進(jìn)程內(nèi)動(dòng)態(tài)廣播注冊建議使用LocalBroadcastManager；或者使用registerReceiver(BroadcastReceiver, IntentFilter, broadcastPermission, Handler)替代registerReceiver(BroadcastReceiver, IntentFilter)

風(fēng)險(xiǎn)名稱: 廣播信息泄露風(fēng)險(xiǎn)

風(fēng)險(xiǎn)描述: 廣播可以被其他惡意程序進(jìn)行接收，導(dǎo)致用戶信息泄露或者終止廣播

修改建議: 建議使用顯式調(diào)用方式發(fā)送Intent；進(jìn)程內(nèi)發(fā)送消息建議使用LocalBroadcastManager；或者使用權(quán)限限制接收范圍，如使用sendBoardcast(Intent, receiverPermission)替代sendBoardcast(Intent)

風(fēng)險(xiǎn)名稱: 外部存儲使用風(fēng)險(xiǎn)

風(fēng)險(xiǎn)描述: 存儲在外部空間的數(shù)據(jù)可能造成信息泄露

修改建議: 建議敏感數(shù)據(jù)不要采用外部存儲，外部存儲做好權(quán)限限制和加密處理

風(fēng)險(xiǎn)名稱: app調(diào)試風(fēng)險(xiǎn)

風(fēng)險(xiǎn)描述: 允許程序被調(diào)試

修改建議: 將debugable的值修改為false

風(fēng)險(xiǎn)名稱: 私有配置文件讀風(fēng)險(xiǎn)

修改建議: 建議禁用全局讀操作，改為MODE_PRIVATE

風(fēng)險(xiǎn)名稱: 用戶自定義權(quán)限濫用風(fēng)險(xiǎn)

風(fēng)險(xiǎn)描述: 以下權(quán)限為normal權(quán)限,可能導(dǎo)致敏感信息泄露

修改建議: 建議修改為signature或者signatureOrSystem

風(fēng)險(xiǎn)名稱: 私有配置文件讀寫風(fēng)險(xiǎn)

修改建議: 建議禁用全局寫操作 改為MODE_PRIVATE

風(fēng)險(xiǎn)名稱: 私有配置文件寫風(fēng)險(xiǎn)

修改建議: 建議禁用全局讀寫操作 改為MODE_PRIVATE

風(fēng)險(xiǎn)名稱: 私有文件泄露風(fēng)險(xiǎn)

風(fēng)險(xiǎn)描述: 存在敏感文件泄露風(fēng)險(xiǎn)

修改建議: 建議禁用MODE_WORLD_READABLE和MODE_WORLD_READABLE選項(xiàng)打開文件

風(fēng)險(xiǎn)名稱: Activity組件暴露風(fēng)險(xiǎn)

風(fēng)險(xiǎn)描述: Activity接口可被其它應(yīng)用調(diào)用，用于執(zhí)行特定的敏感操作或釣魚欺騙，建議添加android:exported=false，若需要外部調(diào)用，需自定義signature或者signatureOrSystem級別的權(quán)限

修改建議: 無需暴露的組件請?jiān)O(shè)置exported=false；若需要外部調(diào)用，建議添加自定義signature或signatureOrSystem級別的私有權(quán)限保護(hù)；需要暴露的組件請嚴(yán)格檢查輸入?yún)?shù)，避免應(yīng)用出現(xiàn)拒絕服務(wù)。

風(fēng)險(xiǎn)名稱: 全局可讀文件

風(fēng)險(xiǎn)描述: 應(yīng)用內(nèi)存在其它任何應(yīng)用都可以讀取的私有文件，可能造成信息泄漏

修改建議: 將文件屬性改為只有所屬用戶或同組用戶可以讀取

風(fēng)險(xiǎn)名稱: 全局可寫文件

風(fēng)險(xiǎn)描述: 應(yīng)用內(nèi)存在其它任何應(yīng)用都可以修改的私有文件，可能造成應(yīng)用行為被修改甚至是代碼注入

修改建議: 將文件屬性改為只有所屬用戶或同組用戶可以修改

風(fēng)險(xiǎn)名稱: Uri用戶敏感信息泄露

風(fēng)險(xiǎn)描述: Uri中包含用戶敏感信息，導(dǎo)致逆向分析者很容易獲得相關(guān)信息

修改建議: Uri路徑做轉(zhuǎn)換

風(fēng)險(xiǎn)名稱: 嘗試使用root權(quán)限

風(fēng)險(xiǎn)描述: 如果程序具有root權(quán)限，且沒有對調(diào)用做限制的話，可能被惡意利用

修改建議: 禁用不必要的高權(quán)限，并對關(guān)鍵權(quán)限加上校驗(yàn)限制

風(fēng)險(xiǎn)名稱: Url用戶敏感信息泄露

風(fēng)險(xiǎn)描述: Url中包含用戶敏感信息，可能導(dǎo)致信息泄露

修改建議: 數(shù)據(jù)加密處理

風(fēng)險(xiǎn)名稱: 外部URL可控的Webview

風(fēng)險(xiǎn)描述: Activity可被其它應(yīng)用程序掉用并加載一個(gè)外部傳入的鏈接，可被用來進(jìn)行釣魚攻擊，或者進(jìn)一步進(jìn)行漏洞利用

修改建議: 減少不必要的Activity的導(dǎo)出

風(fēng)險(xiǎn)名稱: KeyStore風(fēng)險(xiǎn)

風(fēng)險(xiǎn)描述: Android系統(tǒng)KeyStore密鑰存儲組件存在敏感信息泄漏漏洞

修改建議: 建議禁用android.security.KeyStore