登录
当前位置: 首页 > 知识库问答 >
问题:

Google Play预启动报告了安全漏洞,该漏洞表示所有域都允许明文通信

戈华茂
2023-03-14

应用程序的网络安全配置允许所有域的明文通信。这可能会让窃听者截取你的应用程序发送的数据。如果该数据是敏感的或用户可识别的,则可能会影响用户的隐私。

考虑通过将ClearTextTrafficProperted标志设置为false,或者为特定域添加加密策略,只允许加密通信。了解更多信息

network_security_config.xml

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>

    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system"/>
        </trust-anchors>
    </base-config>

    <domain-config cleartextTrafficPermitted="true">
        <domain includeSubdomains="true">127.0.0.1</domain>
    </domain-config>
</network-security-config>

 <application
        android:name="com.example.MyActivity"
        android:allowBackup="false"
        tools:replace="allowBackup"
        android:icon="@drawable/ic_launcher"
        android:label="@string/app_name"
        android:largeHeap="true"
        android:theme="@style/AppTheme"
        android:hardwareAccelerated="true"
        android:resizeableActivity="false"
        android:networkSecurityConfig="@xml/network_security_config">

<domain-config cleartextTrafficPermitted="true">
        <domain includeSubdomains="true">http://my-domain.com</domain>
</domain-config>
    null

共有1个答案

荆鸿畅
2023-03-14

以下配置清除Google Play安全漏洞

注:

  1. 我们在android Pie中仅使用https URL
  2. 要在android pie中使用http,我们需要在domain-config中包含域名
<base-config cleartextTrafficPermitted="false">
    <trust-anchors>
        <certificates src="system"/>
    </trust-anchors>
</base-config>

<domain-config cleartextTrafficPermitted="true">
    <domain includeSubdomains="true">myowndomain.com</domain>
</domain-config>
 类似资料:
  • 报告漏洞

    This document outlines security procedures and general policies for the Libra project. Note: As Libra Core is currently in the prototype stage and does not power a blockchain with a currency that has

  • 二十、漏洞报告

    所以这一天终于来了,你发现了你的第一个漏洞。 首先,恭喜你! 认真来讲,发现漏洞并不容易,但是有一些不爽的事情。 我的第一条建议是放松,不要过度兴奋。 我知道在提交报告时的极度兴奋感,以及当你被告知它不是漏洞,公司关闭了漏洞报告,损害了你在漏洞平台上的声望,被拒绝的沮丧感。我想帮你避免它们。所以,第一件事是首先: 阅读披露准则 在 HackerOne 和 Bugcrowd 上,每个参与公司都列出了

  • WSO2IS:Log4j 1.2安全漏洞

    WSO2IS 5.8包括Log4j 1.2。17 已针对Log4j 1识别出一个安全漏洞CVE-2019-17571。Log4j包括一个SocketServer,它接受序列化的日志事件并反序列化它们,而不验证是否允许对象。这可以提供可以被导出的攻击向量。 有人知道是否可以在WSO2IS 5.8的上下文中利用此漏洞? 提前谢谢!

  • 漏洞篇 逻辑漏洞

    讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 任意密码找回 这是补天平台上的一个案例: http://www.118114.cn/reg.jsp 首先注册一个账号,然后找回。 我们收到的验证码是六位数。如果网站没有设置频率限制,或者最大尝试次数限制的话,那我们自然就会想到可以爆破它。 然后抓提交手机验证码的封包,我们可以看到没有任何图片验证码: 发送到 Burp 的 I

  • 典型的安全漏洞

    典型的安全漏洞 Web 典型的安全漏洞种类很多,如 XSS, CSRF, SQL注入,Cross IFrame Trick, clickJacking, 文件上传 等等。下面列举两种客户端常见的安全漏洞。 XSS XSS (Cross Site Scripting),跨站脚本攻击。为了和层叠样式表(Cascading Style Sheets,CSS)区分开,跨站脚本在安全领域叫做 XSS。攻击者

  • 路径操纵(安全漏洞)

    Fortify安全审查告诉我们一些路径操作漏洞。大多数都是显而易见的简单解决方案,但我不明白如何解决以下问题。 "wsdlPath"是从文本框中输入的。这是无法解决的问题吗?我可以验证路径是否存在,等等,但是这对漏洞有什么帮助呢?

相关问答

log4j是否存在漏洞?测试漏洞的示例代码Node.js服务器中存在安全漏洞SQL注入漏洞vue.js - node14有什么漏洞?如何获取veracode漏洞报告的详细信息?

相关文章

PHPCMS2008广告模板SQL注入漏洞修复Struts2 漏洞分析及如何提前预防针对OpenSSL安全漏洞调整Nginx服务器的方法为什么公共静态最终数组是一个安全漏洞?修复bash漏洞的shell脚本分享

相关阅读

Mysql磁盘空洞的成因以及重建表的几种方式洞隐科技 25届产品助理 9.20一面OPPO数据分析师 GPT等AI技术洞察麻了,tiktok客户端一面,我相信应该没有人现在都还在面吧用String写代码可能会内存泄漏

相关工具

老树洞树洞 OCR 文字识别黑洞维度循环洞穴2循环洞穴 2

相关文档

论 PHP 常见的漏洞格式化字符串漏洞利用每个程序员都应该了解的内存知识安卓应用安全指南PHP 安全基础
快捷导航: 新手教程 算法原理 架构设计 Java进阶 数据库进阶 大厂专栏 面试经验 编程笔记 编程问答 所有专题 文档资料 工具软件 电子书籍 小牛导航
在线工具: 房贷计算器 个税计算器 Linux命令查询 Json格式化 正则表达式 颜色转换 AES加解密 SHA1加密 MD5加密 毒鸡汤 字数统计 随机密码生成 进制转换 Base64编解码 励志句子
Copyright © 2019-2024 小牛知识库@xnip.cn. All Rights Reserved.