高危1:未使用堆栈保护技术
风险详情:APP未使用编译器堆栈保护技术,系统不能监测到栈溢出的发生,造成APP受到黑客入侵的攻击面增加。
修复建议:APP编译时使用堆栈保护技术。
操作:堆栈崩溃保护,使用 -fstack-protector-all
编译器标志编译应用程序,以保护应用程序免受缓冲区溢出攻击。Build Settings > Other C Flags
高危2:通信协议安全
风险详情:APP禁用保护功能ATS(App Transport Security),使用HTTP明文传输协议进行通信造成信息泄露。
修复建议:请开发者开启ATS功能。
相关配置:(不安全的配置)
主机: sina.cn
主机: sina.com.cn
主机: sinaimg.cn
主机: sinajs.cn
主机: weibo.cn
主机: weibo.com
主机: *
原因:在info.plist 中 NSAllowsArbitraryLoads:默认为NO。如果设置为YES,将解除ATS限制。
解决:NSAllowsArbitraryLoads恢复默认NO,并且去掉 NSExceptionDomains 的部分。让他们全部以https方式请求。
https://www.jianshu.com/p/6d474abbf97e
https://www.cnblogs.com/fengong/p/4709621.html
高危3:应用防调试检测
风险详情:APP未使用反调试技术,可使用Ptrace等方式调试APP,存在APP逻辑泄露等风险。
修复建议:对APP进行加固。
解决:TODO