来自 应用 2021-10-12 02:14 的文章

高防御cdn_西安高防服务器_零元试用

高防御cdn_西安高防服务器_零元试用

Android平台近年来风靡全球。谷歌在最近的2014年I/O开发者大会上宣布,目前全球有5.38亿台Android设备在使用。安卓目前在美国已经超越了苹果的iOS系统,目前在美国市场占有近52%的智能手机市场份额。但这种流行的移动操作系统也有一个可疑的安全记录,报告了许多漏洞。Android开源平台(AOSP)浏览器暴露了一个主要的安全漏洞,全球超过五分之一的智能手机用户使用该浏览器。安全专家rafaybaloch揭露了这个问题,可能导致可怕的饼干被盗。 谷歌已经用Jelly Bean 4.2及更高版本的Chrome浏览器取代了易受攻击的WebKit浏览器。但是,AOSP浏览器是Android Jelly Bean、Gingerbread和Froyo(4.1及以下版本)中的默认浏览器,百度的ddos防御量,至今仍在威胁着数百万的移动/平板电脑用户。有关AOSP浏览器中的漏洞的详细信息。 此漏洞围绕同源策略(SOP)展开,后者是每个浏览器的核心安全机制。该功能确保脚本只能读取与脚本相同来源的网页元素或与之交互。通过检查安全协议(HTTP/HTTPS)和端口号等参数来验证这一点。 易受攻击的AOSP浏览器允许恶意攻击者绕过SOP安全机制。例如,一个安全的浏览器应该能够防止恶意脚本从受感染的网站访问合法的网站和应用程序。在AOSP浏览器中,ddos攻击与防御电子书,情况并非如此,SOP可以绕过SOP来窃取受害者的cookie。 "一旦违反了SOP,阿里云ddos防御设置,许多标准的保护机制,如反XSS和反CSRF就变得毫无用处,有效的DDos防御方案,使最终用户完全易受攻击,"Checkmarx CTO Maty Siman说,"许多移动应用程序都是用HTML5编写的(不是本机的),在web浏览器的上下文中运行,这也使得它们很容易受到攻击。" 例如,缺乏SOP机制会允许恶意网站/应用程序嵌入受害者银行网站的HTML iframe,并在受害者事先不知情或不同意的情况下代表受害者执行操作。 相关报道:安卓安全十大戒律 为什么AOSP浏览器漏洞很难处理? 上述的安全问题由于Android平台的不同版本碎片化而更加恶化。这种操作系统分割导致了大量漏洞,预计今年晚些时候,随着谷歌即将推出的Android L软件版本,漏洞将进一步加剧。2014年9月11日的当前明细如下: 姜饼(2.2.3–2.3.7)–11.4%冰淇淋三明治(4.0.3–4.0.4)–9.6%果冻豆(4.1.x–4.3)–53.3%KitKat(4.4及以上)–24.5%2014年8月更新移动浏览器使用模式。礼貌:Netmarketshare.com网站例如,修复KitKat漏洞并不能解决冰淇淋三明治或果冻豆版本中的问题。这个问题被复杂的修补过程放大了。即使谷歌发布了安全更新,手机制造商和移动厂商也并不总是在他们定制的rom中实现这些更新。最新的手机使用调查显示,全球超过20%的智能手机用户仍在使用易受攻击的AOSP浏览器,目前正面临成为cookie/隐私窃取受害者的直接危险如何应对AOSP浏览器漏洞?谷歌最初声称它无法复制这个问题,并将报告合并。但当调查结果公布后,它正式承认了这个漏洞,目前正在开发一个安全补丁。不幸的是,由于版本碎片和定制的ROM问题,修复只能部分有效。所有的果冻豆,姜汁面包和Froyo版本的Android用户应该采取的第一步是避免在他们的设备中内置AOSP浏览器。在googleplay商店中可以免费使用其他选项,并且应该优先于默认的WebKit选项。领先的替代品包括Chrome、Safari和Opera Mini。Checkmarx首席技术官Maty Siman谈SOP安全机制。开发人员还被建议实施Checkmarx的CxSuite源代码分析(SCA)解决方案,以生成具有最小漏洞的安全代码,防御ddos费用,并最终避开各种安全问题。要了解Checkmarx如何帮助检测AOSP浏览器漏洞的更多信息,请联系我们 AndroidAnti CSRFAOSP BrowserChromeHTML5果冻BeanKitKatSame Origin PolicyXSS生物最新帖子莎朗·所罗门莎朗·所罗门的最新帖子物联网(IoT)-破解我的军队-2016年3月14日静态代码分析工具-AppSec检查表-2016年3月3日你想知道的关于HTML5安全的所有信息-2016年2月15日