移动端代码审计实践

admin 2024年2月26日10:54:09评论15 views字数 338阅读1分7秒阅读模式

代码审计的分解和实战是安全研究者需掌握的一种能力。进行代码审计前需对语言安全的基础有一定掌握,这是进行审计的一个前提条件。代码审计过程中还会涉及到第三方开发库例如jar包,aab包等这些也是需要做审计的。

移动端代码审计实践

SQL注入

它是指原始SQL查询被动态更改成一个与程序预期完全不同的查询。执行这样一个更改后的查询可能导致信息泄露或数据被篡改。

移动端代码审计实践

移动端代码审计实践

移动端代码审计实践

框架注入

移动端代码审计实践

移动端代码审计实践

ORM注入

移动端代码审计实践

移动端代码审计实践

移动端代码审计实践

反序列化

它就是把字节序列恢复成对象的过程,在恢复的过程中可能会涉及调用一些类似内置函数或析构函数之类的方法,由于编写不当造成了漏洞

移动端代码审计实践

移动端代码审计实践

xml实体

使用不可信数据来构造XML会导致XML注入漏洞。XML实体课动态包含来自给定资源的数据。外部实体允许XML文档保护来自外部URL的数据。

移动端代码审计实践

移动端代码审计实践

原文始发于微信公众号(编码安全):移动端代码审计实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月26日10:54:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   移动端代码审计实践https://cn-sec.com/archives/2525005.html

发表评论

匿名网友 填写信息