本地拒絕服務漏洞修復建議

 

1. 阿里聚安全建議將沒必要要的導出的組件設置爲不導出

      出於安全考慮，阿里聚安全應將沒必要要的組件導出，防止引發拒絕服務，尤爲是殺毒、安全防禦、鎖屏防盜等安全應用; 在AndroidMenifest.xml文件中，將相應組件的「android:exported」屬性設置爲「false」,以下示例：

<activity android:name="MyActivity"
        android:exported="false">
    <intent-filter>
        <action android:name="android.intent.action_TEST"/>
    </intent-filter>
</activity>

2. 阿里聚安全建議intent處理數據時進行捕獲異常

      阿里聚安全建議處理經過Intent.getXXXExtra()獲取的數據時進行如下判斷，以及用try catch方式進行捕獲全部異常，以防止應用出現拒絕服務漏洞：
      1) 空指針異常；
      2) 類型轉換異常；
      3) 數組越界訪問異常；
      4) 類未定義異常；
      5) 其餘異常；



引用
[1] http://developer.android.com/reference/android/content/Intent.html

[2] Android APP 通用型拒絕服務漏洞分析報告