Android常见安全风险点之消息处理不当

Activity,Service等组件有些是对外开放的(manifest.xml 中 export为true或定义的intent-filter的组件是可导出组件),当这些组件传递的参数未做校验时,这些参数可能导致APP 拒绝服务。

请严格校验输入参数,注意空值判定和类型转换判断,防止由于异常输入导致的应用崩溃。

相关推荐:
如下代码让位于同一行的两个控件分别左对齐和右对齐: <RelativeLayout xmlns:Android="http://schemas.android.com/apk/res/android" Android:background="@drawable/top" Android:layout_width="fill_ …
检查行所绑定的行布局文件中是否使用了EditText,如果有的话将EditText的focusable 属性设为false。
把原来的布局用 <ScrollView xmlns:android="http://schemas.android.com/apk/res/android" android:layout_width="fill_parent" android:layout_height="wrap_content" android:scrollbars="none">& …
由于应用开发者没有对传入的数据做异常判断,恶意应用可以通过传入畸形数据,例如向getXXXExtra()传入自定义的序列化类对象,会导致应用本地拒绝服务。 对getextra方法加上try catch 捕获异常,防止应用拒绝服务。
HTTPS禁止使用ALLOW_ALL_HOSTNAME_VERIFIER,因为这样会存在中间人攻击的风险。 必须使用STRICT_HOSTNAME_VERIFIER并校验证书,详细修复方案请参照Google官方关于SSL的安全建议:https://developer.android …
手机扫一扫即可带走我!