mPaaS 相关的安全检查问题
主要包括,http访问,简单加密(弱hash,md5,AES128\256等)、不安全的API 函数引用风险(主要是c的一些回引起内存泄漏的方法,如scanf printf 等)
微博的分享sdk内自带的url:http://service.weibo.com/share/mobilesdk_uppic.phphttp://service.weibo.com/share/mobilesdk.php(是否有具体调用需要咨询微博或者本地抓包看一下)。
-
多媒体组件、离线包:
- http://alipay.comhttp://www.openssl.org/support/faq.html 这些是静态对比到的url,项目内没有直接的引用
- http://api.m.taobao.com是用来获取当前设备是否配置了代理里面配置的url,但是从功能代码查看默认没有调用(可能为定制功能的一些内容)。
- rest那些拼接的链接上都是image或者file,从实际项目中代码没有搜到具体位置,但是可以判断都是一些图片或者文件类型。
- http://mmtcdp.stable.alipay.net:443是多媒体模块内afts线下环境的兜底域名配置,用来转换外部多媒体资源到CDN的配置,实际也是用不到的,如果有疑问可以在集成插件的时候移除多媒体模块,该模块主要为定制模块。
小程序:http://apiinit.amap.com/v3/log/init 这个是小程序的一些log日志埋点。
从上述分类http的分析上,除了注释的http,剩下的主要是未涉及调用的配置url,以及log埋点,还有rest的图片或者文件资源链接,均未涉及到实际业务内的通信数据安全。
关于弱哈希算法使用漏洞,查看实际代码中使用的地方,只是简单的数据哈希,没有涉及到密码加密等重要方法模块
AES/DES中主要是对一些log埋点的加解密,也是不涉及具体业务的,并且这块代码也是默认不调用的,只有客户端主动使用才会调用(针对某些客户在业务埋点将敏感信息时临时使用)
自定义函数逻辑过于复杂风险,这个只是梆梆给出的风险警告,实际在使用的时候并不会产生问题的。
外部函数显式调用风险、系统调用暴露风险、篡改和二次打包风险,这些都是需要您这边做iOS方面的加固用来预防的,例如防止动态调试、防止越狱设备运行等等
关于ZipperDown 解压漏洞,这个是风险提示,实际上解压文件名和您这边上传的离线包内的路径相关,所以风险提示的地方也是不存在的,只要您那边离线包打包的时候注意一下路径就可以了
关于不安全的API 函数引用风险内涉及相关的c的api,只是静态对比到了这些方法,但是检测机构并不能判断这些方法是否被安全的使用,实际上mpaas内都是有安全判断的,例如sscanf这个最后都是带有长度限制的,防止缓冲区会发生溢出
