限制缓存用户名 详细描述 建议 参考 CWE/OWASP 限制缓存用户名 详细描述 在iOS上，当用户启用“保存此用户ID”功能时，用户名将缓存在CredentialsManager对象中。 在运行时，用户名在任何类型的身份验证之前加载到内存中，从而允许恶意进程拦截用户名。 建议 很难同时向用户提供保存的用户名的便利，以及避免通过不...

Introduction Guidelines Strong Cryptography Support HTTP Strict Transport Security Digital Certificate Pinning Panic Modes Remote Session Invalidation Allow Connections from ...

Introduction Definition: Virtual Patching Why Not Just Fix the Code? Value of Virtual Patching Virtual Patching Tools A Virtual Patching Methodology Example Public Vulnerabil...

Protect Against SSL Downgrade Attacks Details Remediation References CWE/OWASP Protect Against SSL Downgrade Attacks Details Using this form of a man-in-the-middle attack...

Treat Geolocation Data Carefully Details Remediation References CWE/OWASP Treat Geolocation Data Carefully Details Android and iOS can use GPS to accurately determine loc...

Securely Store Sensitive Data in RAM Details Remediation CWE/OWASP Securely Store Sensitive Data in RAM Oftentimes, iOS developers will store application settings in plist f...

安全的删除数据 详细描述 建议 参考 CWE/OWASP 安全的删除数据 详细描述 在Android上，调用file.delete（）将不会安全地擦除目标文件，并且只要它没有被覆盖，它可以从设备的物理图像刻出。 由于对NAND闪存的积极管理，擦除文件的传统方法通常不在移动设备上工作。 建议 在假设任何写入设备的数据都可以恢复的情况下...

保护应用程序服务 详细描述 建议 CWE/OWASP 保护应用程序服务 详细描述 服务通常用于后台处理。 与BroadcastReceivers和应用程序 activities 一样，应用程序服务可以由外部应用程序调用，因此应该由权限和导出标志保护。 建议 服务可以具有可以从外部调用者调用的多于一个方法。 可以为每个方法定义任意权限，...

Security Tools Coding Tool: Security Scanners/Evaluators/Testers: References: Security Tools Coding Tool: DOMPurify XSS Security Scanners/Evaluators/Testers: Netspa...

注意复制和粘贴 详细描述 建议 CWE/OWASP 注意复制和粘贴 详细描述 iOS和Android都支持复制/粘贴。 敏感数据可以以明文形式存储，恢复或者可以从剪贴板修改，而不管数据的源是否最初被加密。 如果在用户复制它时它是纯文本，当其他应用程序访问剪贴板时，它将是明文。 例如，它遵循严格的规则，这意味着应用程序不能读取或写入剪贴板，...