mPaaS 相关的安全检查问题

mPaaS 相关的安全检查问题

主要包括，http访问，简单加密（弱hash，md5，AES128\256等）、不安全的API 函数引用风险（主要是c的一些回引起内存泄漏的方法，如scanf printf 等）

• 微博的分享sdk内自带的url：http://service.weibo.com/share/mobilesdk_uppic.phphttp://service.weibo.com/share/mobilesdk.php（是否有具体调用需要咨询微博或者本地抓包看一下）。

• 多媒体组件、离线包：

  • http://alipay.comhttp://www.openssl.org/support/faq.html 这些是静态对比到的url，项目内没有直接的引用
  • http://api.m.taobao.com是用来获取当前设备是否配置了代理里面配置的url，但是从功能代码查看默认没有调用(可能为定制功能的一些内容)。
  • rest那些拼接的链接上都是image或者file，从实际项目中代码没有搜到具体位置，但是可以判断都是一些图片或者文件类型。
  • http://mmtcdp.stable.alipay.net:443是多媒体模块内afts线下环境的兜底域名配置，用来转换外部多媒体资源到CDN的配置，实际也是用不到的，如果有疑问可以在集成插件的时候移除多媒体模块，该模块主要为定制模块。

• 小程序：http://apiinit.amap.com/v3/log/init 这个是小程序的一些log日志埋点。

从上述分类http的分析上，除了注释的http，剩下的主要是未涉及调用的配置url，以及log埋点，还有rest的图片或者文件资源链接，均未涉及到实际业务内的通信数据安全。

• 关于弱哈希算法使用漏洞，查看实际代码中使用的地方，只是简单的数据哈希，没有涉及到密码加密等重要方法模块

• AES/DES中主要是对一些log埋点的加解密，也是不涉及具体业务的，并且这块代码也是默认不调用的，只有客户端主动使用才会调用（针对某些客户在业务埋点将敏感信息时临时使用）

• 自定义函数逻辑过于复杂风险，这个只是梆梆给出的风险警告，实际在使用的时候并不会产生问题的。

• 外部函数显式调用风险、系统调用暴露风险、篡改和二次打包风险，这些都是需要您这边做iOS方面的加固用来预防的，例如防止动态调试、防止越狱设备运行等等

• 关于ZipperDown 解压漏洞，这个是风险提示，实际上解压文件名和您这边上传的离线包内的路径相关，所以风险提示的地方也是不存在的，只要您那边离线包打包的时候注意一下路径就可以了

• 关于不安全的API 函数引用风险内涉及相关的c的api，只是静态对比到了这些方法，但是检测机构并不能判断这些方法是否被安全的使用，实际上mpaas内都是有安全判断的，例如sscanf这个最后都是带有长度限制的，防止缓冲区会发生溢出