• 谨慎配置 File Permissions
    • 详细描述
    • 建议
    • CWE/OWASP

    谨慎配置 File Permissions

    详细描述

    所有人可读的文件可以作为程序的一个向量,泄漏敏感信息。 所有人可写文件可能会暴露您的应用程序,让攻击者通过覆盖您的应用从存储读取的数据影响其行为。 示例包括设置文件和存储的登录信息。

    建议

    不要创建具有MODE_WORLD_READABLE或MODE_WORLD_WRITABLE权限的文件,除非它是必需的,因为任何应用程序都能读取或写入该文件,即使它可能存储在应用程序的私人数据目录中。

    注意: 这些常量在Android API级别17中已弃用。参考: http://developer.android.com/reference/android/content/Context.html

    不要使用chmod二进制或系统调用接受文件模式(chmod,fchmod,creat等)的模式,例如0666,0777和0664,

    CWE/OWASP

    • M2 - Insecure Data Storage
    • CWE 280