Giảm thiểu rủi ro bảo mật trong ứng dụng
Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang
Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.
Việc tăng cường tính bảo mật cho ứng dụng sẽ giúp bạn duy trì sự tin tưởng của người dùng và tính toàn vẹn của thiết bị.
Trang này trình bày một số vấn đề bảo mật phổ biến mà nhà phát triển ứng dụng Android gặp phải. Bạn có thể dùng nội dung này theo các cách sau:
- Tìm hiểu thêm về cách chủ động bảo mật ứng dụng của bạn.
- Biết cách ứng phó nếu phát hiện thấy ứng dụng gặp một trong những vấn đề này.
Dưới đây là danh sách đường liên kết đến các trang riêng cho từng vấn đề, được sắp xếp theo danh mục dựa trên các tuỳ chọn kiểm soát OWASP MASVS. Mỗi trang bao gồm một bản tóm tắt, tuyên bố về mức độ tác động và các mẹo để giảm thiểu rủi ro cho ứng dụng của bạn.
MASVS-STORAGE: Bộ nhớ
Mô tả danh mục OWASP
MASVS-CRYPTO: Mật mã học
Mô tả danh mục OWASP
MASVS-NETWORK: Giao tiếp mạng
Mô tả danh mục OWASP
Mô tả danh mục OWASP
MASVS-CODE: Chất lượng mã
Mô tả danh mục OWASP
Nội dung và mã mẫu trên trang này phải tuân thủ các giấy phép như mô tả trong phần Giấy phép nội dung. Java và OpenJDK là nhãn hiệu hoặc nhãn hiệu đã đăng ký của Oracle và/hoặc đơn vị liên kết của Oracle.
Cập nhật lần gần đây nhất: 2024-02-12 UTC.
[[["Dễ hiểu","easyToUnderstand","thumb-up"],["Giúp tôi giải quyết được vấn đề","solvedMyProblem","thumb-up"],["Khác","otherUp","thumb-up"]],[["Thiếu thông tin tôi cần","missingTheInformationINeed","thumb-down"],["Quá phức tạp/quá nhiều bước","tooComplicatedTooManySteps","thumb-down"],["Đã lỗi thời","outOfDate","thumb-down"],["Vấn đề về bản dịch","translationIssue","thumb-down"],["Vấn đề về mẫu/mã","samplesCodeIssue","thumb-down"],["Khác","otherDown","thumb-down"]],["Cập nhật lần gần đây nhất: 2024-02-12 UTC."],[],[],null,["# Mitigate security risks in your app\n\nBy making your app more secure, you help preserve user trust and device\nintegrity.\n\nThis page presents a set of common security issues that Android app developers\nface. You can use this content in the following ways:\n\n- Learn more about how to proactively secure your apps.\n- Understand how to react in the event that one of these issues is discovered in your app.\n\nThe following list contains links to dedicated pages for each individual issue,\nsorted into categories based on [OWASP MASVS](https://mas.owasp.org/MASVS/)\ncontrols. Each page includes a summary, impact statement, and tips for\nmitigating the risk to your app.\n\n### MASVS-STORAGE: Storage\n\n[OWASP category description](https://mas.owasp.org/MASVS/05-MASVS-STORAGE)\n\n- [Improperly Exposed Directories to FileProvider](/privacy-and-security/risks/file-providers)\n- [Log Info Disclosure](/privacy-and-security/risks/log-info-disclosure)\n- [Path traversal](/privacy-and-security/risks/path-traversal)\n- [Sensitive Data Stored in External Storage](/privacy-and-security/risks/sensitive-data-external-storage)\n- [WebViews -- Unsafe File Inclusion](/privacy-and-security/risks/webview-unsafe-file-inclusion)\n- [Zip Path Traversal](/privacy-and-security/risks/zip-path-traversal)\n\n### MASVS-CRYPTO: Cryptography\n\n[OWASP category description](https://mas.owasp.org/MASVS/06-MASVS-CRYPTO)\n\n- [Broken or risky cryptographic algorithm](/privacy-and-security/risks/broken-cryptographic-algorithm)\n- [Hardcoded Cryptographic Secrets](/privacy-and-security/risks/hardcoded-cryptographic-secrets)\n- [Weak PRNG](/privacy-and-security/risks/weak-prng)\n\n### MASVS-NETWORK: Network Communication\n\n[OWASP category description](https://mas.owasp.org/MASVS/08-MASVS-NETWORK)\n\n- [Cleartext communications](/privacy-and-security/risks/cleartext-communications)\n- [Insecure DNS Setup](/privacy-and-security/risks/bad-dns)\n- [Unsafe Download Manager](/privacy-and-security/risks/unsafe-download-manager)\n\n### MASVS-PLATFORM: Platform Interaction\n\n[OWASP category description](https://mas.owasp.org/MASVS/09-MASVS-PLATFORM)\n\n- [Content resolvers](/privacy-and-security/risks/content-resolver)\n- [Implicit Intent hijacking](/privacy-and-security/risks/implicit-intent-hijacking)\n- [Insecure API usage](/privacy-and-security/risks/insecure-api-usage)\n- [Insecure broadcast receivers](/privacy-and-security/risks/insecure-broadcast-receiver)\n- [Intent redirection](/privacy-and-security/risks/intent-redirection)\n- [Permission-based access control to exported components](/privacy-and-security/risks/access-control-to-exported-components)\n- [Pending Intents](/privacy-and-security/risks/pending-intent)\n- [Sender of Pending Intents](/privacy-and-security/risks/sender-of-pending-intents)\n- [Sticky Broadcasts](/privacy-and-security/risks/sticky-broadcast)\n- [StrandHogg Attack / Task Affinity Vulnerability](/privacy-and-security/risks/strandhogg)\n- [Tapjacking](/privacy-and-security/risks/tapjacking)\n- [Unsafe use of deep links](/privacy-and-security/risks/unsafe-use-of-deeplinks)\n- [WebView -- Native bridges](/privacy-and-security/risks/insecure-webview-native-bridges)\n- [android:debuggable](/privacy-and-security/risks/android-debuggable)\n- [android:exported](/privacy-and-security/risks/android-exported)\n\n### MASVS-CODE: Code Quality\n\n[OWASP category description](https://mas.owasp.org/MASVS/10-MASVS-CODE)\n\n- [Cross-App Scripting](/privacy-and-security/risks/cross-app-scripting)\n- [Custom Permissions](/privacy-and-security/risks/custom-permissions)\n- [createPackageContext](/privacy-and-security/risks/create-package-context)\n- [Dynamic code loading](/privacy-and-security/risks/dynamic-code-loading)\n- [Improperly trusting ContentProvider-provided filename](/privacy-and-security/risks/untrustworthy-contentprovider-provided-filename)\n- [Insecure API or Library](/privacy-and-security/risks/insecure-library)\n- [Insecure Machine-to-Machine communication setup](/privacy-and-security/risks/insecure-machine-to-machine)\n- [Security best practices for backups](/privacy-and-security/risks/backup-best-practices)\n- [Secure Clipboard Handling](/privacy-and-security/risks/secure-clipboard-handling)\n- [SQL injection](/privacy-and-security/risks/sql-injection)\n- [Test/Debug Features](/privacy-and-security/risks/test-debug)\n- [Unsafe Deserialization](/privacy-and-security/risks/unsafe-deserialization)\n- [Unsafe HostnameVerifier](/privacy-and-security/risks/unsafe-hostname)\n- [Unsafe X509TrustManager](/privacy-and-security/risks/unsafe-trustmanager)\n- [Use of native code](/privacy-and-security/risks/use-of-native-code)\n- [XML External Entities Injection](/privacy-and-security/risks/xml-external-entities-injection)\n- [Webviews - Unsafe URI Loading](/privacy-and-security/risks/unsafe-uri-loading)"]]
