91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

ZipperDown漏洞怎么解決

發布時間:2022-01-17 14:27:39 來源:億速云 閱讀:153 作者:iii 欄目:網絡安全

本篇內容主要講解“ZipperDown漏洞怎么解決”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“ZipperDown漏洞怎么解決”吧!

針對ZipperDown安全漏洞的攻擊條件:

1、App用了ZipArchive

2、App下發的某個zip包傳輸過程沒加密,zip包也沒加密 

3、App使用了JSPatch或其他執行引擎,且本地腳本沒有加密,只要把腳本放指定目錄即可執行,且未對本地腳本進行合法性驗證

4、用戶連接不可靠WIFI熱點進行網絡通信

針對此漏洞的規避方法;開發者自身規避方法:

1、對SSZipArchive庫進行修復,在unzipFileAtPath解壓函數中,對可能造成目錄穿越的”../”字符串時進行攔截。

2、客戶端與服務端通信時,使用HTTPS安全傳輸協議,確保APP與服務端交互中的數據有經過HTTPS協議加密;

3、對APP下載的zip包文件進行傳輸過程中的加密保護,并在客戶端對此zip包進行完整性、合法性驗證,防止被替換;

4、對APP中本地腳本進行加密,并對本地腳本進行完整性、合法性驗證,防止被替換;

擴展:ZipperDown并不是新漏洞,而是“非常經典的安全問題”,其影響主要取決于具體App和它所獲取的權限,并且也同樣在Android平臺發現了類似漏洞“文件目錄遍歷漏洞”

關于文件目錄遍歷漏洞,漏洞產生前提:

Android應用中使用了解壓縮文件,比如動態加載機制,下載apk/zip,然后本地做解壓工作;

漏洞出現原因

因ZipOutputStream類對文件進行壓縮時,未對文件名做任何限制,如果下載的zip包被惡意攔截,進行修改,即可將文件名命名為“../../../../data/data/xxx.xxx.x/xxx”,因為Android是基于Linux系統的,在Linux系統中../這個符號代表是回到上層目錄,那么這里可以多弄幾個這個符號,這樣就會回到Android系統的根目錄,然后在進入當前應用的沙盒目錄下,寫一個文件。

ZipperDown漏洞存在的風險

攻擊者通過該漏洞可以破壞應用數據、獲取用戶隱私數據甚至可獲取任意代碼執行的能力。

規避措施;開發者自身規避方法:

1、對ZipEntry進行解壓時,過濾對具有特殊字符的文件進行解壓,或者解壓到本地文件名稱不能包含特殊字符;

2、客戶端與服務端通信時,使用HTTPS安全傳輸協議,確保APP與服務端交互中的數據有經過HTTPS協議加密;

3、對APP下載的zip包文件進行傳輸過程中的加密保護,并在客戶端對此zip包進行完整性、合法性驗證,防止被替換;

愛加密安全解決方案

1、愛加密提供針對此漏洞評測方案,檢測App是否存在此漏洞;

2、使用愛加密通訊協議加密SDK,對通信過程中的數據進行加密,并保證數據不被篡改;

用戶安全解決方案

不要使用未經認證的WIFI熱點,并及時更新手機中的App。

到此,相信大家對“ZipperDown漏洞怎么解決”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

瓦房店市| 长泰县| 彩票| 沂南县| 苍南县| 太仓市| 宽甸| 綦江县| 黄冈市| 宁武县| 聂拉木县| 湖南省| 彰武县| 西宁市| 抚宁县| 沙坪坝区| 宝坻区| 突泉县| 义马市| 南郑县| 辽宁省| 宝清县| 益阳市| 临清市| 日照市| 泗阳县| 柘荣县| 兴和县| 鄂温| 贡嘎县| 邓州市| 阿巴嘎旗| 庄浪县| 自贡市| 宁都县| 阿荣旗| 丽江市| 漳平市| 浪卡子县| 木兰县| 墨脱县|