Log 方法錯誤地處理機密資訊,導致洩漏使用者隱私資訊,且是不合法的行為。
當安全性和隱私要求發生矛盾時,通常隱私應該放在較重要的位置。為要滿足此要求,並仍維持所需的安全資訊,應在退出程式前清除所有的隱私資料。…
將密碼編譯加密演算法與不安全的作業模式搭配使用
當加密的資料超過一個區塊時,請避免使用 ECB 作業模式,請優先選擇 CBC 模式,因為它不會為完全相同的純文字區塊產生完全一樣的加密文字區塊。不過,在與 SSL 搭配使用時,CBC 模式的效能會有些降低而導致嚴重風險。因此請改用 CCM…
程式不會以權限保護此公用元件。
不具有明確存取權限的元件應為異常。除非元件的用途真的是要供所有應用程式存取,否則開發人員應在資訊清單檔案中明確定義存取權限,保護元件不受惡意應用程式的誤用。
JSONObject() 方法將未經驗證的輸入寫入至 JSON。此呼叫可讓攻擊者將任意元素或屬性插入 JSON 實體。
當您將使用者提供的資料寫入 JSON 時,必須遵循以下原則:1. 請勿使用擷取自使用者輸入的名稱來建立 JSON 屬性。 2. 請務必一律使用安全的序列化函數來執行序列化為 JSON,安全的序列化函數會隔開單引號或雙引號中的不可信賴資料,並逸出任何特殊字元。