内网测试信息残留漏洞
一、API
【1】残留的测试数据【内网URL地址】
【2】残留的测试数据【测试账号、密码等】
二、触发条件
1. 定位内网url地址的位置
【1】对应到smali语句中的特征
r'const-string.+, "http://10\.[0-9]+'
三、漏洞原理
【1】程序代码内部包含残留测试信息,包括内网url地址、测试账号、密码等,这些信息可能会被盗取并恶意利用
四、修复建议
【1】开发者根据检测结果,去检查相关文件中是否包含更多的测试数据
转载请注明原文地址: https://ju.6miu.com/read-964208.html
