本篇內(nèi)容主要講解“ZipperDown漏洞怎么解決”，感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“ZipperDown漏洞怎么解決”吧!

創(chuàng)新互聯(lián)長(zhǎng)期為近1000家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為門頭溝企業(yè)提供專業(yè)的成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)，門頭溝網(wǎng)站改版等技術(shù)服務(wù)。擁有十多年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

針對(duì)ZipperDown安全漏洞的攻擊條件：

1、App用了ZipArchive

2、App下發(fā)的某個(gè)zip包傳輸過(guò)程沒(méi)加密，zip包也沒(méi)加密 

3、App使用了JSPatch或其他執(zhí)行引擎，且本地腳本沒(méi)有加密，只要把腳本放指定目錄即可執(zhí)行，且未對(duì)本地腳本進(jìn)行合法性驗(yàn)證

4、用戶連接不可靠WIFI熱點(diǎn)進(jìn)行網(wǎng)絡(luò)通信

針對(duì)此漏洞的規(guī)避方法；開發(fā)者自身規(guī)避方法：

1、對(duì)SSZipArchive庫(kù)進(jìn)行修復(fù)，在unzipFileAtPath解壓函數(shù)中，對(duì)可能造成目錄穿越的”../”字符串時(shí)進(jìn)行攔截。

2、客戶端與服務(wù)端通信時(shí)，使用HTTPS安全傳輸協(xié)議，確保APP與服務(wù)端交互中的數(shù)據(jù)有經(jīng)過(guò)HTTPS協(xié)議加密；

3、對(duì)APP下載的zip包文件進(jìn)行傳輸過(guò)程中的加密保護(hù)，并在客戶端對(duì)此zip包進(jìn)行完整性、合法性驗(yàn)證，防止被替換；

4、對(duì)APP中本地腳本進(jìn)行加密，并對(duì)本地腳本進(jìn)行完整性、合法性驗(yàn)證，防止被替換；

擴(kuò)展：ZipperDown并不是新漏洞，而是“非常經(jīng)典的安全問(wèn)題”，其影響主要取決于具體App和它所獲取的權(quán)限，并且也同樣在Android平臺(tái)發(fā)現(xiàn)了類似漏洞“文件目錄遍歷漏洞”

關(guān)于文件目錄遍歷漏洞，漏洞產(chǎn)生前提：

Android應(yīng)用中使用了解壓縮文件，比如動(dòng)態(tài)加載機(jī)制，下載apk/zip，然后本地做解壓工作；

漏洞出現(xiàn)原因

因ZipOutputStream類對(duì)文件進(jìn)行壓縮時(shí)，未對(duì)文件名做任何限制，如果下載的zip包被惡意攔截，進(jìn)行修改，即可將文件名命名為“../../../../data/data/xxx.xxx.x/xxx”,因?yàn)锳ndroid是基于Linux系統(tǒng)的，在Linux系統(tǒng)中../這個(gè)符號(hào)代表是回到上層目錄，那么這里可以多弄幾個(gè)這個(gè)符號(hào)，這樣就會(huì)回到Android系統(tǒng)的根目錄，然后在進(jìn)入當(dāng)前應(yīng)用的沙盒目錄下，寫一個(gè)文件。

ZipperDown漏洞存在的風(fēng)險(xiǎn)

攻擊者通過(guò)該漏洞可以破壞應(yīng)用數(shù)據(jù)、獲取用戶隱私數(shù)據(jù)甚至可獲取任意代碼執(zhí)行的能力。

規(guī)避措施；開發(fā)者自身規(guī)避方法：

1、對(duì)ZipEntry進(jìn)行解壓時(shí)，過(guò)濾對(duì)具有特殊字符的文件進(jìn)行解壓，或者解壓到本地文件名稱不能包含特殊字符；

2、客戶端與服務(wù)端通信時(shí)，使用HTTPS安全傳輸協(xié)議，確保APP與服務(wù)端交互中的數(shù)據(jù)有經(jīng)過(guò)HTTPS協(xié)議加密；

3、對(duì)APP下載的zip包文件進(jìn)行傳輸過(guò)程中的加密保護(hù)，并在客戶端對(duì)此zip包進(jìn)行完整性、合法性驗(yàn)證，防止被替換；

愛加密安全解決方案

1、愛加密提供針對(duì)此漏洞評(píng)測(cè)方案，檢測(cè)App是否存在此漏洞；

2、使用愛加密通訊協(xié)議加密SDK，對(duì)通信過(guò)程中的數(shù)據(jù)進(jìn)行加密，并保證數(shù)據(jù)不被篡改；

用戶安全解決方案

不要使用未經(jīng)認(rèn)證的WIFI熱點(diǎn)，并及時(shí)更新手機(jī)中的App。

到此，相信大家對(duì)“ZipperDown漏洞怎么解決”有了更深的了解，不妨來(lái)實(shí)際操作一番吧！這里是創(chuàng)新互聯(lián)網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！