APP安全性检查报告整改

最新推荐文章于 2025-09-17 17:42:36 发布
原创 最新推荐文章于 2025-09-17 17:42:36 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#经验分享

本文详述了Android应用程序在安全检查后发现的漏洞,包括SO风险、BroadcastReceiver、Service、Activity、ContentProvider等中低风险问题的处理方法。建议采取措施如设置android:exported属性、动态注册、使用加固服务等,并强调了必须修改的高危漏洞。同时,提供了整改报告的编写模板和注意事项。

安全性检查处理

一、背景

前些时间被某些公司检查出漏洞,还举报到了我们管辖区的公安派出所,然后要求被整改,虽然感觉是有其他公司在搞我们,但是这些还是需要改的。下面做一下整理归纳检查的漏洞描述

一、出现的安全漏洞处理

1. SO 风险(低风险) (如果是高危漏洞需要进行更换升级SO:高风险)

这个我直接反馈没有相关信息通过SO进行保存处理,或者直接购买第三方服务,SO加固服务

2.BroadcasrtReceive 广播接受者风险 (中风险)
  1. 首先需要android:exported="false"
  2. 但是会导致<intent-filter> 出现问题,所以这里还需要进行动态注册后去添加:
     IntentFilter intentFilter = new IntentFilter();
        intentFilter2.addAction(BluetoothDevice.ACTION_ACL_CONNECTED);
      ....
        registerReceiver(mBluetoothStateBroadcastReceive, intentFilter);
3.Service服务风险 (中风险)

主要是第三方:

  1. 不用的直接移除,比如极光的拉起服务,直接干掉
  2. 不能移除的,需要 android:exported="false"
  3. 如果不能 android:exported="false"在整改报告中说明
最低0.47元/天 解锁文章
app开发上架安全评估报告怎么填写
知码客
03-13 927
app相关功能实际情况填写,如果不符合要求后面审核的时候应该会给你们提出整改意见,到时候把相关的功能开发出来再提审。####个人信息保护以及防范违法有害信息传播扩展、社会动员功能失控风险的技术措施针对个人信息保护,用户只能查看他人的头像及用户昵称,不能查看其它用户的性别、生日、手机号等个人信息。针对有害信息和社会动员功能失控风险,发帖和评论如果包含敏感词内容会被系统替换成*号进行屏蔽;发布成功后,如果发现还有违规内容,普通用户可以进行举报,后台管理员可以对内容进行屏蔽并留存。
app安全评估报告,如何搞定呢?!
热门推荐
mazhongxiu的博客
06-19 1万+
你的app上架,遇到【安全评估报告】门槛了么?什么是“安全评估报告”?没有“报告”会有什么后果?专业的第三方评测机构帮助企业app顺利上架 什么是“安全评估报告”? 2018年11月15日,网信办(http://www.cac.gov.cn)发布了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,规定中提出了:“针对具有舆论属性或社会动员能力的互联网信息服务的主体,都需要提供一份《安全评...
android整改报告模板
10-30
上架应用市场时,可能存在需要整改的可能,如果收到整改通知,就要进行一系列的整改自测,然后再次提测,上应用市场
渗透测试中的“低危漏洞”要不要管?
最新发布
2301_79223853的博客
09-17 176
很多公司在渗透测试报告中会看到一堆“低危漏洞”:信息泄露、目录遍历、报错提示……于是有人觉得:“这些影响不大,可以忽略。:单个低危漏洞看似无害,但多个结合起来可能拼出攻击路径。:报错信息可能泄露框架版本、数据库类型,给攻击者精准打击提供情报。:在开发规范里杜绝这些问题,例如上线前禁止报错信息直接显示。:即使在当前系统没价值,也可能为入侵其他系统提供突破口。:有些信息泄露可能对金融、电商系统极其敏感,优先修复。真正的安全意识,是把小隐患也消灭在萌芽里。:对低危漏洞进行归档,避免遗忘。
APP整改
chenjk的博客
10-30 6761
极光推送SDK 功能:用于实现消息推送(或其他推送)功能 收集个人信息的类型:设备信息、地理位置、网络信息 极光隐私政策链接:https://www.jiguang.cn/license/privac 设备信息:设备标识符(IMEI、IDFA、Android ID、MAC、OAID等相关信息)、应用信息(应用崩溃信息、通知开关状态、软件列表等相关信息)、设备参数及系统信息(设备类型、设备型号、操作系统及硬件相关信息) 网络信息:IP地址,WiFi信息,基站信息等相关信息
app整改报告怎么写?app整改方案分享
calm13的博客
03-29 1028
app整改报告,结合app实际情况与整改内容,逐条填写后即可输出最终的整改报告
精选资源
2022年网络和数据安全监督检查APP系统自查表及填报说明
04-14
【网络和数据安全监督检查APP系统自查表及填报说明】是针对2022年度网络和数据安全管理工作的重要文档,旨在确保各行业主管部门和网络运营者能够遵循网络安全相关的法律法规和政策,提升网络安全防护能力,保障重要...
七大方向保障移动APP安全:应对威胁与整改策略
1. **评估思路**:针对新技术和新业务的移动APP,评估需要关注全面且系统,不仅要检查基础功能的安全性,还要考虑新兴威胁和漏洞。工作小组采用了一种协作模式,即运营商通过自主开发的自动化APP安全检测工具,通过...
精选资源
移动APP安全测试要点
01-27
综上所述,移动APP的安全测试涵盖多个方面,包括代码安全、数据传输、用户交互等,每个环节都需要细致的检查和有效的防护措施,以确保应用的安全性和用户数据的隐私。同时,对于不同类型的APP,应当根据其业务特性和...
Android APP过检安全整改
残风乱了温柔的博客
01-21 855
一、背景说明 金融类APP的安全整改,为了提高APP安全性,达到相关机构的安全标准做的改进。先写个提纲,以后慢慢补充细节 二、改动项整理 报文加解密(RSA+AES,密钥安全保存)、防重放 双向证书认证 开启混淆,应用签名检测防止二次打包 登录密码复杂度 第三方sdk初始化放在同意隐私协议之后 权限整改,隐私政策整改 APP的环境检测:模拟器/Root 本地重要信息加密存储(如SP加密存储) 业务整改(如..
安全漏洞整改报告.docx
11-13
漏洞整改报告
安全测试报告模板
07-17
安全测试报告模板 安全测试报告模板安全测试报告模板安全测试报告模板
手机APP测试报告模板【完整版】.docx
01-04
本测试报告为招标手机APP的测试报告,目的在于总结测试阶段的测试情况以及分析测试结果,描述系统是否符合用户需求,是否已达到用户预期的功能目标,并对测试质量进行分析。 测试报告参考文档提供给用户、测试人员、开发人员、项目管理者、其他管理人员和需要阅读本报告的高层经理阅读。
个人信息保护问题整改报告.docx
06-22
隐私政策整改报告模版,和隐私协议模版
APP隐私合规整改的总结
刘先森的博客
09-27 907
其他省份什么情况我不太了解,但是浙江省通信管理局每个月都会通报隐私不合规的APP这几年也被要求整改过两次,不能说经验丰富,也是轻车熟路了。其中最坑的就是,第一次整改完成,复测的时候,又给你检测出其他不合规的问题,浪费一次机会。合规整改基本分两大块:1:个人信息隐私方面2: APP 安全方面。
Android 安全评估整改办法一
tianshukebi的博客
11-29 907
项目已接近尾声,应要求进行应用评估,本人将近期评估接触到的方法和大家分享。 内网信息 漏洞说明 应用代码中如果存在内网信息泄漏,一旦被攻击者利用,则会对服务器安全产生威胁。 分析方案 (1)首先检测源代码是否加密; (2)扫描反编译代码中以http、https开头的字符串以及IP地址 删除非应用需要
软件质量改进建议报告模板
m0_54701273的博客
05-22 1070
软件质量改进建议报告模板
android 安全加固总结报告,[原创]某加固详细分析总结,另附该加固脱壳机
weixin_39845430的博客
05-27 243
某加固逆向分析缘起自己稍微了解一点加固,当然只是皮毛而已。前不久发了一篇脱壳的帖子(只能脱早期的壳,本身也只是发着玩玩)为了看看现在加固技术的演进和锻炼一下自己的逆向能力,遂选择了一个业界算知名度比较高的加固产品。本人没有装逼之意,知道我大中华牛人数量之多可以多过我的遍身毛发,也仅是对自己的一个总结,文章必会有错误和疏漏之处,还请大佬们高抬贵手。我接受任何发自肺腑的建议。缘落本人目前时间还算充裕,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TieJun~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值