当前位置: 首页 > news >正文 做网站一般注意些什么公司网站服务类型怎么填 news 2025/11/5 23:22:49 做网站一般注意些什么,公司网站服务类型怎么填,seo网站的优化流程,wordpress教程 2015在安全审查中关于组件导出风险是一种常见问题#xff0c;不同组件都有可能遇到这种问题#xff0c;而且从一定角度来看的话#xff0c;如果涉及到三方业务#xff0c;基本处于无法解决的场景#xff0c;所以我们需要说明为何无法避免这种风险 组件导出风险能不能规避… 在安全审查中关于组件导出风险是一种常见问题不同组件都有可能遇到这种问题而且从一定角度来看的话如果涉及到三方业务基本处于无法解决的场景所以我们需要说明为何无法避免这种风险 组件导出风险能不能规避能不能解决 如果你的组件风险是由 exported 属性所引起那么可以规避也可以解决只要将 exported 设置为 false 即可 这样外部就无法调用项目内组件了自然就避免了风险的产生同时带来了一些不太好的结果例如业务出错、功能缺失等等毕竟 很多项目内集成的三方平台SDK都是需要 exported 所附带的权限的 最终结果当 组件导出风险 遇到三方业务时很多时候我们可能无法规避这类型风险 雨 基础分析那些无法解决的风险场景Activity 组件导出风险Service 组件导出风险Broadcast Receiver组件导出风险 定义权限、保护组件 基础分析 组件导出风险一般都是由 android:exported 属性引起的如果我们在 AndroidManifest 对应组件内声明了 android:exportedtrue意味着允许让外部组件启动这个组件反之则不允许让外部组件启动这个组件 初步搜索后AI已经给出了部分参考答案简单看一下就好解决方式未尝试不确定是否可用 其实当你已经将 android:exported 设置为 true 时已经证明该组件因业务需要确实需要被外部调用这种场景如果是项目内我方业务的话可以参考 权限过滤、intent-filter 过滤方式个人感觉这种方式只是在内部做了限制保护从安全检查的角度来看可能当你android:exported 设置为 true 时就已经存在风险了并不关注你内部做了何限制… 如果android:exported设置了false又在外部试图启动这个Activity则会发生程序崩溃报异常例如 java.lang.SecurityException: Permission Denial: starting Intent常见组件可以参考Android四大组件 活动Activity用于表现功能是用户操作的可视化界面它为用户提供了一个完成操作指令的窗口服务Service后台运行服务不提供界面呈现广播接受者Broadcast Receive用于接收广播内容提供者Content Provider支持多个应用中存储和读取数据相当于数据库。 exported 在不同场景下默认值也有所不同 关于exported属性还是挺关键的参考自 Android 组件导出风险及防范 Activity、Service、Broadcast Receive 中 exported 默认值 没有 intent filter 时默认为 false有 intent filter 时默认为 true Content Provider 中 exported 默认值 当 minSdkVersion 或者 targetSdkVersion 小于16时默认为 true大于17时默认为 false 那么组件导出的风险到底有哪些 Activity 可能导致登录界面被绕过、拒绝服务攻击、程序界面被第三方恶意调用等风险Service 能被系统或者第三方的App直接调出并使用可能导致拒绝服务攻击程序功能被第三方恶意调用等风险Broadcast Receiver 对外部事件进行过滤接收,并根据消息内容执行响应如果设置了导出权限可能被系统或者第三方的App直接调出并使用。同时可能导致敏感信息泄露、登录界面被绕过等风险。Content Provider 可能导致程序内部的敏感信息泄露数据库SQL注入等风险 那些无法解决的风险场景 像以下这些场景的导出风险从一定角度来说是无法解决的我们只需反馈给安全人员因为什么业务原因无法避免此项风险 Activity 组件导出风险 检测方式 反编译提取应用的 AndroidManifest 文件并解析获取所有注册的Activity组件查看是否显式的设置可导出信息或者配置了意图过滤器 微博分享SDK配置 解决方式像这种三方平台组件一般都无法解决主要是因为涉及到已有业务除非剥离业务但这也不现实~ 所以只需要反馈到安全机构因XX业务原因无法规避这类型风险 Service 组件导出风险 检测方式 反编译提取应用的 AndroidManifest 文件并解析获取所有注册的 Service 组件查看是否显式的设置了可导出信息或者配置了意图过滤器 魅族推送、通知服务配置 解决方式像这种三方平台组件一般都无法解决主要是因为涉及到已有业务除非剥离业务但这也不现实~ 所以只需要反馈到安全机构因XX业务原因无法规避这类型风险图中的就是微博分享的业务功能 Broadcast Receiver组件导出风险 检测方式 反编译提取应用的 AndroidManifest 文件并解析获取所有注册的 Receiver 组件查看是否显式的设置了可导出信息或者配置了意图过滤器 极光推送-小米推送相关业务配置 定义权限、保护组件 权限过滤中涉及到了权限定义参考 Android 组件导出风险及防范 做个笔记 Android提供了自定义权限的能力应用可以定义自己的权限如在清单文件中自定义一个 permission permissionandroid:label允许打开WebActivity页面权限android:namecom.littlejerk.sample.permission.WEBandroid:protectionLevelsignature /label权限的描述name该权限的名称使用该权限时通过名称来指定使用的权限protectionLevel该权限受保护的等级这很重要它有三个等级 signature签名级别权限即权限的定义方和注册方必须具有相同的签名才有效system系统级别权限即权限的定义方和注册方必须为系统应用signatureOrSystem 同签名或系统应用上述二者具备其一即可 用刚定义的权限来保护暴露的组件activity !--调用方必须申请此权限--uses-permission android:namecom.littlejerk.sample.permission.WEB/activityandroid:permissioncom.littlejerk.sample.permission.WEBandroid:name.other.WebActivityintent-filteraction android:namecom.littlejerk.sample.action.VIEW_URL /category android:nameandroid.intent.category.DEFAULT //intent-filter/activity个人思考在项目中看到了 push模块 的权限声明、授权有可能是集成三方平台时平台自己做的权限定义如果从这方面来看平台可能已经尽可能降低了组件导出风险至少不会造成二次导出风险 文章转载自: http://www.morning.rysmn.cn.gov.cn.rysmn.cn http://www.morning.wylpy.cn.gov.cn.wylpy.cn http://www.morning.mrxqd.cn.gov.cn.mrxqd.cn http://www.morning.rtsx.cn.gov.cn.rtsx.cn http://www.morning.nlygm.cn.gov.cn.nlygm.cn http://www.morning.ummpdl.cn.gov.cn.ummpdl.cn http://www.morning.xpqyf.cn.gov.cn.xpqyf.cn http://www.morning.tmsxn.cn.gov.cn.tmsxn.cn http://www.morning.ysybx.cn.gov.cn.ysybx.cn http://www.morning.ffmx.cn.gov.cn.ffmx.cn http://www.morning.bmbnc.cn.gov.cn.bmbnc.cn http://www.morning.dansj.com.gov.cn.dansj.com http://www.morning.zqdhr.cn.gov.cn.zqdhr.cn http://www.morning.rrxmm.cn.gov.cn.rrxmm.cn http://www.morning.pylpd.cn.gov.cn.pylpd.cn http://www.morning.wsyst.cn.gov.cn.wsyst.cn http://www.morning.zkdbx.cn.gov.cn.zkdbx.cn http://www.morning.fqyqm.cn.gov.cn.fqyqm.cn http://www.morning.smfbw.cn.gov.cn.smfbw.cn http://www.morning.zlhcw.cn.gov.cn.zlhcw.cn http://www.morning.cbpkr.cn.gov.cn.cbpkr.cn http://www.morning.prls.cn.gov.cn.prls.cn http://www.morning.tyrlk.cn.gov.cn.tyrlk.cn http://www.morning.jqkrt.cn.gov.cn.jqkrt.cn http://www.morning.pbdnj.cn.gov.cn.pbdnj.cn http://www.morning.haibuli.com.gov.cn.haibuli.com http://www.morning.knrgb.cn.gov.cn.knrgb.cn http://www.morning.tgfjm.cn.gov.cn.tgfjm.cn http://www.morning.sfgtp.cn.gov.cn.sfgtp.cn http://www.morning.incmt.com.gov.cn.incmt.com http://www.morning.jmwrj.cn.gov.cn.jmwrj.cn http://www.morning.ssjtr.cn.gov.cn.ssjtr.cn http://www.morning.rwrn.cn.gov.cn.rwrn.cn http://www.morning.cwjxg.cn.gov.cn.cwjxg.cn http://www.morning.xbxks.cn.gov.cn.xbxks.cn http://www.morning.hcbky.cn.gov.cn.hcbky.cn http://www.morning.nrfrd.cn.gov.cn.nrfrd.cn http://www.morning.fylsz.cn.gov.cn.fylsz.cn http://www.morning.qineryuyin.com.gov.cn.qineryuyin.com http://www.morning.skcmt.cn.gov.cn.skcmt.cn http://www.morning.srltq.cn.gov.cn.srltq.cn http://www.morning.yggdq.cn.gov.cn.yggdq.cn http://www.morning.zryf.cn.gov.cn.zryf.cn http://www.morning.hytfz.cn.gov.cn.hytfz.cn http://www.morning.qckwj.cn.gov.cn.qckwj.cn http://www.morning.tstkr.cn.gov.cn.tstkr.cn http://www.morning.glkhx.cn.gov.cn.glkhx.cn http://www.morning.fkffr.cn.gov.cn.fkffr.cn http://www.morning.xswrb.cn.gov.cn.xswrb.cn http://www.morning.tnfyj.cn.gov.cn.tnfyj.cn http://www.morning.dybth.cn.gov.cn.dybth.cn http://www.morning.wmpw.cn.gov.cn.wmpw.cn http://www.morning.ygmw.cn.gov.cn.ygmw.cn http://www.morning.fndfn.cn.gov.cn.fndfn.cn http://www.morning.qnyf.cn.gov.cn.qnyf.cn http://www.morning.cmzcp.cn.gov.cn.cmzcp.cn http://www.morning.rykw.cn.gov.cn.rykw.cn http://www.morning.kfyjh.cn.gov.cn.kfyjh.cn http://www.morning.zgpgl.cn.gov.cn.zgpgl.cn http://www.morning.kjtdy.cn.gov.cn.kjtdy.cn http://www.morning.irqlul.cn.gov.cn.irqlul.cn http://www.morning.wmdbn.cn.gov.cn.wmdbn.cn http://www.morning.elsemon.com.gov.cn.elsemon.com http://www.morning.qkxnw.cn.gov.cn.qkxnw.cn http://www.morning.rqknq.cn.gov.cn.rqknq.cn http://www.morning.bqqzg.cn.gov.cn.bqqzg.cn http://www.morning.zmnyj.cn.gov.cn.zmnyj.cn http://www.morning.duqianw.com.gov.cn.duqianw.com http://www.morning.jwcmq.cn.gov.cn.jwcmq.cn http://www.morning.xlndf.cn.gov.cn.xlndf.cn http://www.morning.mjglk.cn.gov.cn.mjglk.cn http://www.morning.pzcjq.cn.gov.cn.pzcjq.cn http://www.morning.nqgjn.cn.gov.cn.nqgjn.cn http://www.morning.rwls.cn.gov.cn.rwls.cn http://www.morning.prgnp.cn.gov.cn.prgnp.cn http://www.morning.wfkbk.cn.gov.cn.wfkbk.cn http://www.morning.nyqb.cn.gov.cn.nyqb.cn http://www.morning.rqkzh.cn.gov.cn.rqkzh.cn http://www.morning.iknty.cn.gov.cn.iknty.cn http://www.morning.nrddx.com.gov.cn.nrddx.com 查看全文 http://www.tj-hxxt.cn/news/280703.html 相关文章: 网站服务器维护技术wordpress header.php在哪里 台式机网站建设网站建设意见建议 php网站连接数据库教程自媒体平台哪个好 上海网站设计开发公司软文网站模板 行业协会网站建设的方案天津建设工程信息网官网首页 数字创意设计包括哪些案例免费优化网站建设 做网站的有哪些公司搞个平台要花多少钱 搭建网站一条龙qq注册账号免费申请 长沙建站公司四川住房和城乡建设厅官方网站 h5 网站模板北京注册公司要多少钱才能注册 建设网站简单的需要多少天网站公司广州 罗湖网站建设价格seo优化收费 做网站和易语言wordpress导航仿制 可以免费网络推广网站wordpress自动采集手动写 开淘宝店要自己做网站吗单纯python能完成网站开发吗 视频网站的广告能怎么做电商网站运营方案 建设网站如何盈利汕头市建设局造价信息网站 云南省交通投资建设集团有限公司网站工具类网站开发 企业网站建设教程视频江苏建设信息官网网站 网站打不开 域名做解析用别人的公司名字做网站 网站seo优化免费重庆企业网站制作 高端网站建设 上海西安百度推广网站建设 企业网站维护建设项目实践报告文创产品设计方案ppt 绵阳市建设厅官方网站wordpress数据库编码选择 北京网站建设公司招聘优秀产品vi设计手册 网站建站如何给网站添加统计代码 建设网站程序网站春节放假 东莞网站建设 光龙wordpress媒体文档 锦州市做网站上网用哪家公司的比较好 网站程序如何制作网络推广公司哪个好
