MASWE-0082：不安全地处理本地存储数据

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，目前为占位符。但您可以查看其状态或自行开始处理。如果问题尚未分配，您可以请求分配给您，并按照我们的指南提交包含该弱点新内容的 PR。

检查 MASWE-0082 的 GitHub Issue

初始描述或提示

从本地存储读取数据时，应将其视为不可信。

相关主题

• 内部存储
• 外部存储
• 接收应用使用的 UIDocumentPickerViewController
• 应用未验证或清理来自本地存储的输入，这可能在数据被解释或用于敏感操作时导致注入漏洞 (CWE-20)。
• 应用未验证或清理从本地存储读取的文件路径，从而可能导致路径遍历攻击 (CWE-22)。
• 本地文件路径受攻击者控制的输入影响，且其内容可被修改（在外部存储或文档选择器中常见），从而导致意外的文件访问或篡改 (CWE-73)。
• 应用处理来自本地存储的数据时，将其视为固有可信，未进行隔离或验证，从而允许攻击者更改应用状态或行为 (CWE-349)。

参考资料

• https://developer.android.com.cn/topic/security/risks/path-traversal
• https://developer.android.com.cn/topic/security/risks/zip-path-traversal

MASTG v1 覆盖范围

MASTG v1 中没有与此弱点相关的测试。