我在我的项目中使用gradle进行崩溃解析和应用程序分发。当我为我的应用程序运行安全性测试时。 fabric gradle插件存在问题。它使用易受攻击的httpcomponents版本。
参考: .gradle / xome-auction-android / caches / modules-2 / files-2.1 / io.fabric.tools / gradle / 1.25.4 / e1475d609b53783d837c84cc3ec0abcfb5c9a898 / gradle-1.25.4.jar / META- INF / maven / org.apache.httpcomponents / httpclient / pom.xml
我正在使用最新版本的Fabric Gradle插件“ 1.25.4:2018年5月7日” https://docs.fabric.io/android/changelog.html
4.3.6之前的所有版本的HttpClient都容易受到攻击。目前,fabric中最新的gradle插件正在使用4.3版本,该版本被视为易受攻击。
是否可以在gradle插件中排除此问题并使用4.3.6以上的版本?
无论系统或应用程序有多安全,利用易受攻击的库都可能引入漏洞,从而有可能绕过现有的安全控制措施。这包括商业和开源的第三方应用程序库,框架和服务。一些示例包括易受攻击的文件上传组件,开源库或应用程序服务器和数据库软件。
有时可以使用自动化工具(例如Nessus)和安全测试框架(例如Metasploit)快速识别和利用易受攻击的组件。存在几个知名的漏洞数据库,由开发人员和安全分析人员共享。攻击者可以利用这些众所周知的信息源。一些示例包括国家漏洞数据库,US-CERT,安全焦点,常见漏洞和披露数据库,安全跟踪器和Secunia。
易受攻击的库和框架通常会构成重大风险,尤其是因为它们通常具有高级特权运行。几乎可以导致任何类型的漏洞,例如注入,任意代码执行和身份验证绕过。