Fortify ルールセットが Android アプリケーションでどのような脆弱性を探すのか、興味があります。残念ながら、私は同じドキュメントを見つけることができません。コンポーネントのアクセス許可チェックとともに、Java 固有の脆弱性を探していることは知っていますが、他に何かありますか? SQL インジェクション チェック? 意図チェック?
user277465
質問する
5489 次
2 に答える
7
すべての通常の Java ルールに加えて、次のカテゴリの Android 固有のルールがあります。
コード品質:
Android の悪い慣行 - リリースされたカメラの使用
Android の悪い慣行 - リリースされた SQLite リソースの使用
Android の悪い慣行 - リリースされたメディア リソースの使用 リリースされてい
ないリソース - Android メディア
カプセル化:
安全でないストレージ - Android 外部ストレージ
システムの情報漏えい
入力の検証と表現:
コマンド インジェクション
クロス: サイト スクリプティング - 永続的
クロス: サイト スクリプティング - 不十分な検証
クロス: サイト スクリプティング - リフレクト
ヘッダー操作 - Cookies
ログ フォージ
パス操作
クエリ文字列インジェクション - Android プロバイダー
リソース インジェクション
SQL インジェクション
セキュリティ機能:
アクセス制御 - Android プロバイダー
アクセス制御 - データベース
Android の悪い慣行 - ブロードキャスターの許可がない
Android の悪い慣行 - 受信者の許可がない
Android の悪い慣行 - スティッキー ブロードキャスト
パスワード管理
パスワード管理 - 空のパスワード
パスワード管理 - ハードコードされたパスワード
パスワード管理 - Null パスワード
パスワード管理 - 弱い暗号化
プライバシー違反
権限管理 - Android 位置情報
権限管理 - Android メッセージング
権限管理 - Android テレフォニー
権限管理 - API 権限の欠落
権限管理 - コンテンツ プロバイダー権限がありません
権限管理 - インテント権限がありません
于 2012-10-16T18:16:05.133 に答える
1
Fortify が提供するものの公式リストは次のとおりです。
リストするにはたくさんあります。
于 2013-12-05T19:50:34.660 に答える