WIKI

10.1 SSL连接检测

(1)描述

URL没有使用SSL安全协议。

(2)风险等级

提示

(3)影响范围

所有

(4)检测方法

检测类型:静态分析

所有不使用httpsurl字符串常量

(5)修复建议

ü  如果使用https协议加载url,应用进行证书校验防止访问的页面被篡改挂马

ü  如果使用http协议加载url,应进行白名单过滤、完整性校验等防止访问的页面被篡改

ü  如果加载本地html,应将html文件内置在apk中,以及进行对html页面完整性的校验

(6)参考资料

https://jaq.alibaba.com/blog.htm?id=60

https://developer.android.com/training/articles/security-ssl.html