MASWE-0066: 不安全的意图

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，它是一个**占位符**。但您可以检查其状态或自行开始处理。如果该问题尚未被分配，您可以请求分配给自己，并按照我们的指南提交包含该弱点新内容的PR。

查看我们在 GitHub 上关于 MASWE-0066 的问题

初始描述或提示

例如，在未经验证或净化的情况下，在不受信任的意图上调用 startActivity、startService、sendBroadcast 或 setResult。使用隐式意图启动服务存在安全隐患，因为您无法确定哪个服务会响应意图，并且用户也无法看到哪个服务启动。例如，可变待处理意图（未使用 FLAG_IMMUTABLE），重放待处理意图（未使用 FLAG_ONE_SHOT）。

相关主题

• 不安全的意图重定向
• 不安全的隐式意图
• 不安全的待处理意图（可变、重放）

参考资料

• https://support.google.com/faqs/answer/9267555?hl=en
• https://developer.android.com.cn/privacy-and-security/security-tips#intents
• https://developer.android.com.cn/topic/security/risks/intent-redirection
• https://developer.android.com.cn/topic/security/risks/implicit-intent-hijacking
• https://developer.android.com.cn/topic/security/risks/pending-intent

MASTG v1 覆盖范围

MASTG v1 中没有与此弱点相关的测试。