本文主要是介绍(最新)移动App应用安全漏洞分析报告 !,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏洞、file跨域访问等。本报告选取11类android app中同等数量的热门app,其活跃用户量可覆盖83%的移动端网民,根据阿里巴巴移动安全中心对这些app的漏洞检测,得到以下结论:
参与检测的android app中,近97%的app都存在漏洞问题,且平均漏洞量高达40个。
安全类app漏洞问题最多,其漏洞总量499个,占所有类别app漏洞总量的21%。
新闻、旅游类app相对最不安全,其各自漏洞总量约240个,且其中高危漏洞量占比30%。
游戏类app相对最安全,漏洞总量约57个,且其中高危漏洞占比约2%。
从测试结果来看,android app的安全问题不容乐观,漏洞的存在尤其是高危漏洞,会对app开发者甚至用户带来较大影响,如何提前发现潜在风险、保护开发者和用户的利益是阿里巴巴移动安全团队一直坚持的责任。
第一章 Android APP漏洞现状
为了解android app的总体现状,报告中将app归纳为11个类别:健康、娱乐、安全、教育、新闻、旅游、游戏、社交、购物、金融、阅读。选取11类app中等量热门app,并使用阿里巴巴聚安全的漏洞扫描产品进行静态和动态检测,扫描结果如下:
从漏洞类别来看,android app漏洞中排在首位的是sql注入类漏洞,占比38.2%,其次是webview漏洞,占比35.4%,见左图。
从漏洞风险级别来看,android app中高危漏洞占20.7%,低危漏洞占79.3%,其中高危漏洞主要集中在webview系列和https证书未校验上。
这篇关于(最新)移动App应用安全漏洞分析报告 !的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
