我很好奇Fortify规则集在Android应用程序中寻找的漏洞.不幸的是我无法找到相同的文档.我知道他们会查看Java特定的漏洞以及组件的权限检查 - 其他什么?SQL注入检查?意图检查?
除了所有常规Java规则外,还有针对以下类别的Android特定规则:
代码质量:
Android不良做法 - 使用已发布的相机
Android不良做法 - 使用已发布的SQLite资源
Android不良做法 - 使用已发布的媒体资源
未发布资源 - Android Media
封装:
不安全存储 - Android外部存储
系统信息泄漏
输入验证和表示:
命令注入
交叉:站点脚本 - 持久
交叉:站点脚本 - 差评验
交叉:站点脚本 - 反映的
标题操作 - Cookies
日志伪造
路径操作
查询字符串注入 - Android提供程序
资源注入
SQL注入
安全功能:
访问控制 - Android提供商
访问控制 - 数据库
Android不良做法 - 缺少广播公司权限
Android不良做法 - 缺少接收者权限
Android不良做法 - 粘性广播
密码管理
密码管理 - 空密码
密码管理 - 硬编码密码
密码管理 - 空密码
密码管理 - 弱密码学
隐私侵权
权限管理 - Android位置
权限管理 - Android消息传递
权限管理 - Android电话
权限管理 - 缺少API权限
权限管理 - 缺少内容提供商权限
权限管理 - 缺少意图权限