MASWE-0084: 不安全地处理来自IPC的数据

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，它是一个**占位符**。但您可以检查其状态或自行开始处理。如果该问题尚未分配，您可以请求分配给您，并按照我们的指南提交包含该弱点新内容的PR。

查看 MASWE-0084 相关的 GitHub 问题

初始描述或提示

例如：接收到的 Intent、广播接收器、URL 验证、URL 方案等。

相关主题

• 应用程序未验证或清理通过进程间通信通道（例如，Intent、内容 URI、广播接收器）接收的输入，这可能导致在敏感操作中使用数据时出现注入或逻辑漏洞 (CWE-20)。
• 应用程序假设通过 IPC 从其他应用程序接收的数据是可信的，而未验证其真实性或来源 (CWE-345)。
• 应用程序将不可信的 IPC 数据与可信输入或内部状态结合，这可能允许攻击者影响应用程序行为或破坏逻辑流程 (CWE-349)。

MASTG v1 覆盖范围

• MASTG-TEST-0026 - 测试隐式 Intent (Android)
• MASTG-TEST-0002 - 测试本地存储的输入验证 (Android)
• MASTG-TEST-0027 - 测试 WebView 中的 URL 加载 (Android)
• MASTG-TEST-0025 - 测试注入漏洞 (Android)