WIKI

10.4 HttpURLConnection漏洞检测

(1)描述

Android 2.2版本之前,HttpURLConnection一直存在着一些令人厌烦的bug。比如说对一个可读的InputStream调用close()方法时,就有可能会导致连接池失效了。

(2)风险等级

(3)影响范围

2.2版本之前

(4)检测方法

检测类型:静态分析

判断使用HttpURLConnection是否进行了版本判断

(5)修复建议

判断Android版本,并设置http.keepAlivefalse

private void disableConnectionReuseIfNecessary() {

        // Work around pre-Froyo bugs in HTTP connection reuse.

        if (Integer.parseInt(Build.VERSION.SDK) < Build.VERSION_CODES.FROYO) {

                System.setProperty("http.keepAlive", "false");

        }

}

(6)参考资料

http://blog.csdn.net/guolin_blog/article/details/12452307

http://developer.android.com/reference/java/net/HttpURLConnection.html

http://android-developers.blogspot.tw/2011/09/androids-http-clients.html