浏览
954文章
6篇1:手机app常见的漏洞有哪些
全文共 1426 字
+ 加入清单首先,说到APP的安全漏洞,如果抛开安卓自身开源的问题的话,其主要产生的原因就是开发过程中疏忽或者代码不严谨引起的。但这些责任也不能怪在程序猿头上,有时会因为BOSS时间催得紧等很多可观原因。那么,手机app常见的漏洞有哪些呢?
1.应用反编译
漏洞:APK包非常容易被反编译成可读文件,稍加修改就能重新打包成新的APK。
利用:软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商ID。
建议:使用ProGuard等工具混淆代码,重要逻辑用NDK实现。
例子:反编译重打包FlappyBird,把广告商ID换了,游戏改加插一段恶意代码等等。
2.数据的存储与传输
漏洞:外部存储(SD卡)上的文件没有权限管理,所有应用都可读可写。开发者把敏感信息明文存在SD卡上,或者动态加载的payload放在SD卡上。
利用:窃取敏感信息,篡改配置文件,修改payload逻辑并重打包。
建议:不要把敏感信息放在外部存储上面;在动态加载外部资源的时候验证文件完整性。
漏洞:使用全局可读写(MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE)的内部存储方式,或明文存储敏感信息(用户账号密码等)。
利用:全局读写敏感信息,或root后读取明文信息。
建议:不适用全局可读写的内部存储方式,不明文存储用户账号密码。
3.密码泄露
漏洞:密码明文存储,传输。
利用:
root后可读写内部存储。
SD卡全局可读写。
公共WiFi抓包获取账号密码。
建议:实用成熟的加密方案。不要把密码明文存储在SD卡上。
4.组件暴露(Activity,Service,BroadcastReceiver,ContentProvider)
漏洞:
组件在被调用时未做验证。
在调用其他组件时未做验证。
利用:
调用暴露的组件,达到某种效果,获取某些信息,构造某些数据。(比如:调用暴露的组件发短信、微博等)。
监听暴露组件,读取数据。
建议:验证输入信息、验证组件调用等。android:exported设置为false。使用android:protectionLevel="signature"验证调用来源。
5.WebView
漏洞:
恶意App可以注入JavaScript代码进入WebView中的网页,网页未作验证。
恶意网页可以执行JavaScript反过来调用App中注册过的方法,或者使用资源。
利用:
恶意程序嵌入WebApp,然后窃取用户信息。
恶意网页远程调用App代码。更有甚者,通过JavaReflection调用Runtime执行任意代码。
建议:不使用WebView中的setJavaScriptEnabled(true),或者使用时对输入进行验证。
6.其他漏洞
ROOT后的手机可以修改App的内购,或者安装外挂App等。
Logcat泄露用户敏感信息。
恶意的广告包。
利用nextIntent。
7.总结
APP的漏洞大部分都是因为开发人员没有对输入信息做验证造成的,另外因为Intent这种特殊的机制,需要过滤外部的各种恶意行为。再加上安卓应用市场混乱,开发人员水平参差不齐。所以现在Android应用的漏洞,恶意软件,钓鱼等还在不断增多。
再加上root对于App沙箱的破坏,Android升级的限制。国内的安卓环境一片混乱,惨不忍睹。所以,提醒大家如果想要保证你的应用没有安全漏洞,就要记住:永远不要相信外面的世界。
更多通讯安全小知识,比如手机下载网络资源需注意哪些危险隐患,欢迎继续阅读。
篇2:常见的网络安全漏洞有哪些
全文共 641 字
+ 加入清单在安装上360或者是其他杀毒软件的时候,首先都会要求我们修复漏洞,因为这涉及到我们上网的安全,也涉及到我们的财产安全,那么常见的网络安全漏洞有哪些呢?了解网络安全常识,首先就要了解计算机网络安全有哪些基本注意事项,下面小编就带您认识一下吧。
1、软件漏洞;
任何一种软件或多或少存在一定脆弱性,安全漏洞可视作已知系统脆弱性。这种安全漏洞可分为两种/一种是由于操作系统本身设计缺陷带来的漏洞,它将被运行在这个系统上的应用程序所继承,另一咱是应用软件程序安全漏洞很常见,更要引起广泛关注。
2、结构漏洞;
网络中忽略了安全问题,没有采取有效的网络安全措施,使网络系统处于不设防的状态;另外,在一些重要网段中,交换机和集线器等网络设备设置不当,造成网络流量被不法获取。
3、配置漏洞;
网络中忽略了安全策略的制定,即使采取了网络安全措施,但由于安全配置不合理或不完整,安全没有发挥任用在网络发生变化后,没有及时更改系统内部安全配置而造成安全漏洞。
4、管理漏洞;
网络管理者不小心和麻痹造成的安全漏洞,如管理员口令太短或长期不更换密码,造成口令攻击;两台服务器共用同一个用户名和口令,如果一个服务器被入侵,则中一个服务器也很危险;
5、信任漏洞;
过分地信任外来合作者的机器,一旦这个机器被入侵,则网络安全受到严重危险。
常见的网络安全漏洞有哪些呢?上面就是小编为您介绍网络安全小知识了。网络安全漏洞就好比是亡羊补牢,如果发现早的话还会有补救的措施,而发现的过晚就有可能造成重大损失的,曾经影响我们的财产安全。
篇3:常见的网络漏洞有哪些
全文共 605 字
+ 加入清单计算机网络安全有哪些基本注意事项呢?常见的网络漏洞有哪些呢?请登录来找出这个问题的答案吧。为您笼统的总结了常见的网络漏洞的种类,您值得拥有。
众所周知,黑客入侵、网络攻击以及其他数字化安全漏洞从来都有百害而无一利。一个行业的烦恼可能是另一个行业的噩梦。网络漏洞会影响到很大范围的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。
网络中有许多的漏洞都是由于设计人员和程序员的疏忽或失误及对网络环境的不熟悉造成的。进行网络开发时,许多设计开发者并不重视网络的安全情况,也不完全了解程序的内部工作机理,致使程序不能适应所有的网络环境,造成网络功能与安全策略发生冲突,最终导致漏洞的产生。另有一部分漏洞则是网络用户刻意为之的。网络管理员为了更好地监管和控制网络,往往预留秘密通道,以保证对网络的绝对控制。而部分网络用户或黑客也许会出于好奇而在网络中秘密种下木马、逻辑炸弹或是陷门。网络中的漏洞可以存在于硬件和软件中,但更多还是以软件漏洞的形式存在。
我们大家可能已经对感到非常的熟悉了,那么请问您对网络安全小知识又有多少的了解呢?如果您还是不了解它的话,快快登录来了解一下吧。
篇4:常见的操作系统漏洞有哪些
全文共 961 字
+ 加入清单我们都知道电脑系统漏洞是普遍存在的,但是您听说过常见操作系统漏洞吗?常见的操作系统漏洞有哪些?了解网络安全常识,首先就要了解计算机网络安全有哪些基本注意事项,下面小编就带您认识一下吧。
1、DOS
简介
DiskOperatingSystem又称DOS(简写),中文全名“磁盘操作系统”。
优点
1快捷,熟练的用户可以通过创建BAT或CMD批处理文件完成一些烦琐的任务。
2速度快,安全,价格便宜。
缺点
1日常应用功能不丰富,(没有图形界面)命令行操作不直观,对设备的支持比较少
2很多设备的大部分程序都不能在DOS环境下执行。
2、Windows
简介
发行于2001年10月25日,原来的名称是Whistler。2011年7月初,微软表示将于2014年春季彻底取消对Windowsxp的技术支持。
优点
1图形界面良好,拥有良好的集成开发环境,操作简单。提供了一个可伸缩的高性能平台。
2整合常见应用软件,简单,快捷,方便。适合电脑城销售人员及维修商快速装机。
缺点
1.系统更新落后,漏洞较多,不稳定,易受病毒和木马的攻击;
2.自带软件版本较低,需要自行卸载升级;
3.所有软件和程序预装在C盘,加重系统负担,即使卸载,仍有残余大量垃圾碎片文件,容易拖慢系统。
3、UNIX
简介
UNIX是一个强大的多用户、多任务操作系统,支持多种处理器架构,按照操作系统的分类,属于分时操作系统。
优点
1由于附带源代码,用户可以分析它,更改它。文件系统小巧,简单。
2将所有的设备用文件表示,可使用与处理文件相同的命令和系统调用集访问设备。3具有可移植性。
缺点
1UNIX系统的标准1/O库相对其底层的系统调用接口已变得越来越复杂了。
2传统的UNIX内核不够灵活,不具备很好的可扩充性,也很少代码复用的设施。
4、Linux
简介
Linux是一种自由和开放源码的类Unix操作系统。可安装在各种计算机硬件设备中。世界上运算最快的超级计算机运行的都是Linux系统。
优点
1安全、易维护、稳定。
2软件自由/开源
3低成本-大多数
4透明公开-绝大多数GNU/Linux是开放开发的。
缺点
1缺失的应用软件和游戏-您会失去一些熟知的应用程序。
2缺少硬件支持-绝大多数硬件是支持的,但不是全部
3寻求帮助更难-通常朋友、家人、同事不能帮您解决GNU/Linux相关问题,所以您需要在线获取帮助。
篇5:安卓应用有哪些常见的安全漏洞
全文共 1395 字
+ 加入清单如果手机应用开发的时候出现疏漏就会造成Android应用的安全漏洞,那么,安卓应用有哪些常见的安全漏洞呢?小编给大家综合了以下几个方面。
1.应用反编译
漏洞:APK包非常容易被反编译成可读文件,稍加修改就能重新打包成新的APK。
利用:软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商ID。
建议:使用ProGuard等工具混淆代码,重要逻辑用NDK实现。
例子:反编译重打包FlappyBird,把广告商ID换了,游戏改加插一段恶意代码等等。
2.数据的存储与传输
漏洞:外部存储(SD卡)上的文件没有权限管理,所有应用都可读可写。开发者把敏感信息明文存在SD卡上,或者动态加载的payload放在SD卡上。
利用:窃取敏感信息,篡改配置文件,修改payload逻辑并重打包。
建议:不要把敏感信息放在外部存储上面;在动态加载外部资源的时候验证文件完整性。
漏洞:使用全局可读写(MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE)的内部存储方式,或明文存储敏感信息(用户账号密码等)。
利用:全局读写敏感信息,或root后读取明文信息。
建议:不适用全局可读写的内部存储方式,不明文存储用户账号密码。
3.密码泄露
漏洞:密码明文存储,传输。
利用:root后可读写内部存储。SD卡全局可读写。公共WiFi抓包获取账号密码。
建议:实用成熟的加密方案。不要把密码明文存储在SD卡上。
4.组件暴露(Activity,Service,BroadcastReceiver,ContentProvider)
漏洞:组件在被调用时未做验证。在调用其他组件时未做验证。
利用:调用暴露的组件,达到某种效果,获取某些信息,构造某些数据。(比如:调用暴露的组件发短信、微博等)。监听暴露组件,读取数据。
建议:验证输入信息、验证组件调用等。android:exported设置为false。使用android:protectionLevel="signature"验证调用来源。
5.WebView
漏洞:恶意App可以注入JavaScript代码进入WebView中的网页,网页未作验证。
恶意网页可以执行JavaScript反过来调用App中注册过的方法,或者使用资源。
利用:恶意程序嵌入WebApp,然后窃取用户信息。
恶意网页远程调用App代码。更有甚者,通过JavaReflection调用Runtime执行任意代码。
建议:不使用WebView中的setJavaScriptEnabled(true),或者使用时对输入进行验证。
6.其他漏洞
ROOT后的手机可以修改App的内购,或者安装外挂App等。
Logcat泄露用户敏感信息。
恶意的广告包。
利用nextIntent。
其实,Android应用的漏洞大部分都是因为开发人员没有对输入信息做验证造成的,另外因为Intent这种特殊的机制,需要过滤外部的各种恶意行为。再加上Android应用市场混乱,开发人员水平参差不齐。所以现在Android应用的漏洞,恶意软件,钓鱼等还在不断增多。再加上root对于App沙箱的破坏,Android升级的限制。国内的Android环境一片混乱,惨不忍睹。所以,提醒大家如果想要保证你的应用没有安全漏洞,就要记住:永远不要相信外面的世界。
更多通讯安全小知识,比如手机下载网络资源需注意哪些危险隐患,欢迎继续阅读。
篇6:常见的计算机网络安全漏洞有哪些
全文共 935 字
+ 加入清单当今的世界呈现网络信息化、网络全球化的发展大趋势。因此,我们应该竭尽全能地享受其带来的优势和便利,让信息网络为人类的生活进行健康服务。同时,我们还应该采取一切措施将各类危害网络信息安全的病毒清扫干净。只有防患于未然,我们才能在错综复杂的网络信息时代中沐浴和谐的阳光。只有这样,计算机网络才能造福人类,下面来看看常见的计算机网络安全漏洞有哪些吧?
1、XSS跨站脚本漏洞
所谓XSS脚本漏洞即是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,恶意html代码会被执行,从而达到攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以被很多人忽略。建议控制脚本注入的语法要素。一般我们会采用转义的方式来处理,
2、钓鱼欺骗
所谓“钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript以监控目标网站的表单输入。
3、网站挂马
网站挂马就是跨站后利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。
4、用户身份盗用
用户身份盗用,涉及到搜索引擎Cookie,Cookie是储存在用户本地终端上的数据,是用户对于特定网站的身份验证标志,XSS可以盗取用户的Cookie,从而利用该Cookie获取用户对该网站的操作权限。当能够窃取到用户Cookie从而获取到用户身份时,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。
5、垃圾信息发送
不管是什么类型的平台都会成为漏洞的攻击对象,比如在论坛社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群体。
6、XSS蠕虫
XSS蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。其造成的危害也是多种多样,也是比较常见的网站漏洞之一。
以上是小编介绍常见的计算机网络安全漏洞有哪些的内容,本网信息安全知识库中还有很多关于网络安全方面的知识,感兴趣的朋友可以继续关注,可以更好的保护我们自己的安全。