Android代码仲裁器
介绍
根据查找安全漏洞: ://find-sec-bugs.github.io/改写,删除其中跟Android突破无关的漏洞,保留与Android相关的,同时增加其他一些检测项,从而形成针对Android的源码审计工具。同时将检测结果设置成中文,方便开发者查看问题原因及修改建议。
检测项
域名(Hostname)验证不严格
Webview证书错误未处理
命令注入/动态加载
TrustManager未进行证书校验
MD2,MD4,MD5弱信息摘要算法使用
SHA-1弱信息摘要算法
错误字符转换
DES / DESede使用
RSA Nopadding
RSA密钥长度问题
欧洲央行模式
加密无预先验证
CBC / PKCS5Padding模式
外部文件存储
发送广播消息未设置接收权限
发送粘性广播
动态注册广播接收器未设置权限
创建模式使用不当
Webview设置
