代码级传输层保护

Question

我正在开发一个工具来扫描android应用程序，并显示其中的漏洞，我被困在一个OWASP漏洞，即不够传输层保护。我无法找到易受攻击的代码来创建一个模式，以便我可以交叉检查它与任何应用程序。如果您有任何与此漏洞相关的易受攻击的代码，请告诉我。

提前感谢

Answer 1

基本上，你要检查的是，加密是否用于网络上的操作。

例如:是否为登录请求启用了SSL/TLS？是否还有其他通过网络以明文形式传输的敏感信息？SSL是否以安全的方式配置(例如没有SSLv2)？诸若此类。

您可以在Sheet上找到防止此特定漏洞时必须考虑的列表。

不过，我觉得很难确定是否有什么东西没有.

我不熟悉Android编程，但我会查找任何未加密的套接字创建或请求，因为这可能就是这种漏洞。

祝你好运-)