MASWE-0058: 不安全的深度链接

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，目前是**占位符**。但您可以查看其状态或自行开始处理。如果该问题尚未被分配，您可以请求被分配到该问题，并按照我们的指南提交包含该弱点新内容的PR。

查看我们在 GitHub Issues 中关于 MASWE-0058 的内容

初始描述或提示

例如：使用 URL Custom Schemes、未验证的 AppLinks/Universal Links、未验证URL。深度链接参数提供了广泛的可能性。如果畸形的URI或参数值未经过净化，则可能在应用程序的不同点触发注入。例如，CWE-939通过检查源来防止URI的利用，CWE-917通过检查内容来防止URI的利用。

相关主题

• URL Custom Schemes
• AppLinks
• Universal Links
• URL validation
• 检查操作系统版本。例如，深度链接在 Android XX 之后更安全

参考资料

• https://developer.apple.com/documentation/technotes/tn3155-debugging-universal-links

MASTG v1 覆盖范围

• MASTG-TEST-0028 - 测试深度链接 (android)
• MASTG-TEST-0075 - 测试自定义URL方案 (ios)