Use Broadcasts Carefully Details Remediation References CWE/OWASP Use Broadcasts Carefully Details If no permission is set when sending a broadcast Intent, then any unpri...

Hide Account Numbers and Use Tokens Details Remediation CWE/OWASP Hide Account Numbers and Use Tokens Details Many apps store complete account numbers in various screens. ...

Implement Intents Carefully Details Remediation CWE/OWASP Implement Intents Carefully Details Intents are used for inter-component signaling and can be used To start an ...

使用合适的会话管理 详细描述 Remediation CWE/OWASP 使用合适的会话管理 详细描述 大多数应用程序都通过可能容易受到攻击的Cookie来维护用户的会话。 Remediation Web语言（例如Java，.NET）提供会话管理，这是经过良好开发和安全测试的。 使服务器软件保持最新的安全补丁。 开发您自己的会话管理更...

Avoid Query String for Sensitive Data Details Remediation References CWE/OWASP Avoid Query String for Sensitive Data Details A major bank breach was executed with a simpl...

谨慎配置 File Permissions 详细描述 建议 CWE/OWASP 谨慎配置 File Permissions 详细描述 所有人可读的文件可以作为程序的一个向量，泄漏敏感信息。 所有人可写文件可能会暴露您的应用程序，让攻击者通过覆盖您的应用从存储读取的数据影响其行为。 示例包括设置文件和存储的登录信息。 建议 不要创建具有...

Be Aware of Copy and Paste” Details Remediation CWE/OWASP Be Aware of Copy and Paste” Details Both iOS and Android support copy/paste. Sensitive data may be stored, recove...

WAF 防护 功能说明 配置字段 配置示例 观察模式（只会记录日志) 防护模式 测试自定义规则 WAF 防护 功能说明 开源版 WAF 插件，支持基于 OWASP ModSecurity Core Rule Set (CRS) 的 WAF 规则配置。 配置字段 名称 数据类型 填写要求 默认值 描述 useCRS bool 选填 fa...

谨慎使用 Broadcasts 详细描述 建议 参考 CWE/OWASP 谨慎使用 Broadcasts 详细描述 如果在发送广播Intent时未设置权限，则任何非特权应用程序都可以接收Intent，除非它有明确的目标。 攻击者可以通过以下方式利用没有任何设置权限的Intent： 创建包含与合法组件具有相同名称的组件的恶意应用程序 ...

Introduction Primary Defenses Defense Option 1: Escape all variables using the right LDAP encoding function Safe Java Escaping Example Safe C Sharp .NET TBA Example Defense Opt...