高危1:未使用堆棧保護(hù)技術(shù)
風(fēng)險(xiǎn)詳情:APP未使用編譯器堆棧保護(hù)技術(shù)唠梨,系統(tǒng)不能監(jiān)測到棧溢出的發(fā)生,造成APP受到黑客入侵的攻擊面增加侥啤。
修復(fù)建議:APP編譯時(shí)使用堆棧保護(hù)技術(shù)当叭。
操作:堆棧崩潰保護(hù),使用 -fstack-protector-all 編譯器標(biāo)志編譯應(yīng)用程序盖灸,以保護(hù)應(yīng)用程序免受緩沖區(qū)溢出攻擊蚁鳖。Build Settings > Other C Flags
高危2:通信協(xié)議安全
風(fēng)險(xiǎn)詳情:APP禁用保護(hù)功能ATS(App Transport Security),使用HTTP明文傳輸協(xié)議進(jìn)行通信造成信息泄露赁炎。
修復(fù)建議:請開發(fā)者開啟ATS功能醉箕。
相關(guān)配置:(不安全的配置)
主機(jī): sina.cn
主機(jī): sina.com.cn
主機(jī): sinaimg.cn
主機(jī): sinajs.cn
主機(jī): weibo.cn
主機(jī): weibo.com
主機(jī): *
原因:在info.plist 中 NSAllowsArbitraryLoads:默認(rèn)為NO。如果設(shè)置為YES徙垫,將解除ATS限制琅攘。
解決:NSAllowsArbitraryLoads恢復(fù)默認(rèn)NO,并且去掉 NSExceptionDomains 的部分松邪。讓他們?nèi)恳詇ttps方式請求坞琴。
http://www.reibang.com/p/6d474abbf97e
https://www.cnblogs.com/fengong/p/4709621.html
高危3:應(yīng)用防調(diào)試檢測
風(fēng)險(xiǎn)詳情:APP未使用反調(diào)試技術(shù),可使用Ptrace等方式調(diào)試APP逗抑,存在APP邏輯泄露等風(fēng)險(xiǎn)剧辐。
修復(fù)建議:對APP進(jìn)行加固。
解決:TODO
