android:debuggable
Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang
Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.
Danh mục OWASP: MASVS-PLATFORM: Tương tác với nền tảng
Tổng quan
Thuộc tính android:debuggable xác định ứng dụng có thể gỡ lỗi hay không. Thuộc tính này được đặt cho toàn bộ ứng dụng và không ghi đè được bằng các thành phần riêng lẻ. Theo mặc định, thuộc tính này được đặt thành false.
Việc cho phép ứng dụng có thể gỡ lỗi trong chính ứng dụng đó không phải là lỗ hổng bảo mật, nhưng điều này khiến ứng dụng gặp nhiều rủi ro hơn từ việc truy cập ngoài ý muốn và trái phép vào các chức năng quản trị. Điều này có thể khiến những kẻ tấn công có nhiều quyền truy cập hơn dự định vào ứng dụng và các tài nguyên mà ứng dụng dùng.
Tác động
Việc đặt cờ android:debuggable thành true sẽ cho phép kẻ tấn công gỡ lỗi ứng dụng, giúp chúng dễ dàng truy cập vào các phần của ứng dụng cần được bảo mật.
Giải pháp giảm thiểu
Luôn đảm bảo đặt cờ android:debuggable thành false khi gửi ứng dụng của bạn.
Đề xuất cho bạn
Nội dung và mã mẫu trên trang này phải tuân thủ các giấy phép như mô tả trong phần Giấy phép nội dung. Java và OpenJDK là nhãn hiệu hoặc nhãn hiệu đã đăng ký của Oracle và/hoặc đơn vị liên kết của Oracle.
Cập nhật lần gần đây nhất: 2023-12-14 UTC.
[[["Dễ hiểu","easyToUnderstand","thumb-up"],["Giúp tôi giải quyết được vấn đề","solvedMyProblem","thumb-up"],["Khác","otherUp","thumb-up"]],[["Thiếu thông tin tôi cần","missingTheInformationINeed","thumb-down"],["Quá phức tạp/quá nhiều bước","tooComplicatedTooManySteps","thumb-down"],["Đã lỗi thời","outOfDate","thumb-down"],["Vấn đề về bản dịch","translationIssue","thumb-down"],["Vấn đề về mẫu/mã","samplesCodeIssue","thumb-down"],["Khác","otherDown","thumb-down"]],["Cập nhật lần gần đây nhất: 2023-12-14 UTC."],[],[],null,["# android:debuggable\n\n\u003cbr /\u003e\n\n**OWASP category:** [MASVS-PLATFORM: Platform Interaction](https://mas.owasp.org/MASVS/09-MASVS-PLATFORM)\n\nOverview\n--------\n\nThe `android:debuggable` [attribute](/guide/topics/manifest/application-element) sets whether the application is\ndebuggable. It is set for the application as a whole and can't be overridden by\nindividual components. The attribute is set to `false` by default.\n\nAllowing the application to be debuggable in itself is not a vulnerability, but\nit does expose the application to greater risk through unintended and\nunauthorized access to administrative functions. This can allow attackers more\naccess to the application and resources used by the application than intended.\n\nImpact\n------\n\nSetting the android:debuggable flag to true enables an attacker to debug the\napplication, making it easier for them to gain access to parts of the\napplication that should be kept secure.\n\nMitigations\n-----------\n\nAlways make sure to set the `android:debuggable` flag to `false` when shipping\nyour application."]]
