代码审计的分解和实战是安全研究者需掌握的一种能力。进行代码审计前需对语言安全的基础有一定掌握,这是进行审计的一个前提条件。代码审计过程中还会涉及到第三方开发库例如jar包,aab包等这些也是需要做审计的。
SQL注入
它是指原始SQL查询被动态更改成一个与程序预期完全不同的查询。执行这样一个更改后的查询可能导致信息泄露或数据被篡改。
框架注入
ORM注入
反序列化
它就是把字节序列恢复成对象的过程,在恢复的过程中可能会涉及调用一些类似内置函数或析构函数之类的方法,由于编写不当造成了漏洞
xml实体
使用不可信数据来构造XML会导致XML注入漏洞。XML实体课动态包含来自给定资源的数据。外部实体允许XML文档保护来自外部URL的数据。
原文始发于微信公众号(编码安全):移动端代码审计实践
