[安全测试显示我的Android应用程序具有硬编码的敏感数据,这是有风险的。它属于核心Android库。如何解决?
问题描述 投票:0回答:1
我通过Android应用APK上的ImmuniWeb工具进行了安全测试。该工具所做的一项观察是,其中一个应用程序包含硬编码的敏感数据。它进一步说:
具有访问移动应用程序文件权限的攻击者可以轻松地从应用程序中提取此数据,并在以后的应用中使用攻击。
有“ google_api_key”,“ google_crash_reporting_api_key”和在文件中找到“ google_storage_bucket”'android / res / values / strings.xml'
问题是此strings.xml文件是自动生成的,无法编辑:
如何清除此问题?
1个回答
2
投票
投票
您所引用的数据不是“私有”或“敏感”的。这是Firebase产品的标准配置,作为使用Google Play服务插件的标准应用程序构建的一部分注入到您的应用程序中。所有这些值仅是Firebase和Google服务的标识符,客户端必须知道它们才能解决这些服务。没有它们,您的应用程序将不知道去哪里获取信息。
[如果您在应用中使用实时数据库,Firestore或云存储,则应针对这些产品使用每种产品的安全规则,以限制谁可以读写这些产品中的哪些位置。这就是您在使用Firebase的应用程序中实现安全性的方式。试图隐藏或混淆配置不会破坏坚定的攻击者。
我对用于此安全扫描的此工具一无所知,但似乎并不了解这些事实。
最新问题
- 如何在preg_replace()的替换参数中引用完整的字符串匹配?
- 使用 Azure Resource Graph Explorer 查询所有 Azure WAF 规则
- Flutter 应用程序在启动 URL(例如 URL Launcher)后在模拟器中挂起
- 内存泄漏的安全性
- 单链表
- 你能用 Postman / Curl 创建一个新的 Weaviate 系列吗?
- 将文件名添加到 Path 对象
- AWS ECS/EC2 任务部署失败
- 优惠码统计
- 非结构化任务不继承执行上下文
- PutFileAs laravel 存储在生产环境(centos 服务器)中返回 false,但可以在本地(larragon 服务器)上传
- Azure Databricks:无法参数化 dlt.apply_changes 的键选项
- Beautiful Soup 'ResultSet' 对象没有属性 'text'
- 如何在 Airtable 底座和多个外部源之间设置 2 路同步
- 删除文本中的 HTML 标签和方括号标签,但不要删除 PHP 标签或其内容
- 预替换问题(PHP)
- 如何在 geom_point 的 4 个级别上对齐中值标签?
- 错误:名称后跟“::”必须是类或命名空间名称
- 你能从桌面快捷方式打开用 VSCode 制作的 C++ 游戏吗?
- 价格规则未应用于 Shopify 订单项中的购物车
© www.soinside.com 2019 - 2024. All rights reserved.