APP 有漏洞被测要下架,怎么处理?

事情的经过是这样的:

1:学员公司测试的 APP 发现有漏洞,被要求下架

2:他被公司要求去查询 APP 哪里有漏洞

3:他来寻求帮助,推荐几款安全测试扫描漏洞的问题。

事情的梳理:

1:我们看了他的 APP 审查过程,并非是安全漏洞,发现都是第三方 SDK 的调用,而且都是违规收集用户信息的 SDK;

2:SDK 如下所示:

这些 SDK 包括:

如果你想学习自动化测试,我这边给你推荐一套视频,这个视频可以说是B站播放全网第一的自动化测试教程,同时在线人数到达1000人,并且还有笔记可以领取及各路大神技术交流:798478386   

【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)_哔哩哔哩_bilibili【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)共计200条视频,包括:1、接口自动化之为什么要做接口自动化、2、接口自动化之request全局观、3、接口自动化之接口实战等,UP主更多精彩视频,请关注UP账号。icon-default.png?t=N7T8https://www.bilibili.com/video/BV17p4y1B77x/?spm_id_from=333.337.search-card.all.click

l 极光推送 SDK
使用目的:为用户推送平台的最新活动
收集个人信息类型:设备识别信息
采集端:iOS/Android


l 支付宝支付 AlipaySDK-iOS-No-UTDID
使用目的:帮助用户在应用内使用支付宝。
收集个人信息类型:网络信息、地理位置信息、手机号码、唯一设备标识符(IMEI/IMSI/MAC 地址、android_id),订单信息(交易金额、订单号、时间)。
采集端:iOS/Android


l 微信分享、支付 MobSDK
使用目的:帮助用户完成微信登录/分享/微信支付功能。
收集个人信息类型:订单信息(交易金额、订单号、时间),手机号码,地理位置,联网信息,设备型号,设备类型,唯一设备标识符,系统版本。
采集端:iOS/Android


l 高德地图 SDK
使用目的:收集您的位置信息,访问网络用于获取地图服务,使用存储权限用于保存地图缓存,应用于与位置相关的业务场景,如:向您展示所在位置周边的库存商品信息,便于您选择收货地址,向您展示配送信息。
收集个人信息类型:收集个人信息类型:设备所在位置相关信息(GPS 位置、WLAN 接入点、蓝牙、WI-FI 信息、GNSS、基站以及其他传感器信息),设备信息(IMEI、IDFA、Android ID、MEID、MAC 地址、OAID、IMSI、硬件序列号、操作系统版本信息),IP 地址。
采集端:iOS/Android


l 百度地图 SDK
使用目的:收集您的位置信息,访问网络用于获取地图服务,使用存储权限用于保存地图缓存,应用于与位置相关的业务场景,如:向您展示所在位置周边的库存商品信息,便于您选择收货地址,向您展示配送信息。
收集个人信息类型:收集个人信息类型:设备所在位置相关信息(GPS 位置、WLAN 接入点、蓝牙、WI-FI 信息、GNSS、基站以及其他传感器信息),设备信息(IMEI、IDFA、Android ID、MEID、MAC 地址、OAID、IMSI、硬件序列号、操作系统版本信息),IP 地址。
采集端:iOS/Android


l 商汤 ocr SDK
使用目的:帮助用户完成身份认证。
收集个人信息类型:设备识别信息
采集端:iOS/Android


l 友盟 umeng SDK
使用目的:识别设备的异常状态。
收集个人信息类型:设备类型,系统版本,用户使用时长,首页地址
采集端:iOS/Android
**l OKHttp3 **SDK
使用目的:用于快速定位故障和性能瓶颈,优化代码和服务效率,保障业务稳定性,提升用户体验。
收集个人信息类型:设备识别信息
采集端:iOS/Android


l 连连收款 SDK
使用目的:向用户提供银联支付功能。
收集个人信息类型:设备识别信息
采集端:iOS/Android

事件的解决建议方案:

1:上报情况给研发经理和老板,告知是因为调用第三方 SDK 违规收集用户信息,而非安全漏洞

2:目前这个情况只能优先下掉第三方 SDK 的调用,先保住 APP 不下架

3:APP 下架会带来更多的损失

这个事件的借鉴意义:

1:作为测试人一定要分清楚什么是漏洞什么是违规使用?

2:遇到这类违规使用而被要求下架 APP,作为测试负责人应该如何反应并处理。

3:违规使用第三方 SDK 的信息,是否可以在测试中避免?或者是测试到是否有用户授权的步骤?

4:收集用户信息的第三方 SDK,值得大家看看?

5:这也可以算是测试中的一个紧急事件或突发 bug。

如果是你遇到这样的问题,你会怎么处理,如何去快速求助?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/399907.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

UE5 C++ UENUM 和 USTRUCT

一.首先在APawn里声明 UENUM 和 USTRUCT。UENUM 有两种定义方式 一种是使用命名空间: 还有是继承uint8: 通过申明class类 别名来替代 USTRUCT的定义 上面的第二种有类似但仍然有很多的差异: 首先要有GENERATED_USTRUCT_BODY()这个函数 并且…

fastApi笔记04-查询参数和字符串校验

额外校验 使用Query可以对查询参数添加校验 from typing import Unionfrom fastapi import FastAPI, Queryapp FastAPI()app.get("/items/") async def read_items(q: Union[str, None] Query(defaultNone, max_length50)):results {"items": [{"…

春招面试准备笔记——过拟合和欠拟合

介绍 过拟合:过拟合是指模型在训练过程中过于复杂,拥有过多的参数,以至于在训练数据集上表现良好,但在未见过的测试数据上表现很差的现象。这种情况下,模型可能只是“死记硬背”了训练数据的特征和噪声,而…

SpringBoot中使用PageHelper插件实现Mybatis分页

场景 SpringBoot中整合Mybatis时一般添加的依赖为 <dependency><groupId>org.mybatis.spring.boot</groupId><artifactId>mybatis-spring-boot-starter</artifactId><version>2.2.1</version></dependency> 如果要实现分页查…

解锁ThreadLocal的问题集:如何规避多线程中的坑

欢迎来到我的博客&#xff0c;代码的世界里&#xff0c;每一行都是一个故事 解锁ThreadLocal的问题集&#xff1a;如何规避多线程中的坑 前言内存泄露问题内存泄漏原因&#xff1a;检测和避免内存泄漏的实用建议&#xff1a; 线程池带来的数据混乱最佳实践&#xff1a;注意事项…

CVE-2024-0918 TEW-800MB RCE漏洞分析

漏洞描述 固件版本为1.0.1.0的TEW-800MB路由器存在命令注入漏洞。如果攻击者获得了web管理权限&#xff0c;他们可以将命令注入到httpd未知函数中的post请求参数DeviceURL中&#xff0c;从而获得shell权限。。 参考链接 TEW-800MB (notion.site)https://warp-desk-89d.notio…

从宏观到微观——泽攸科技ZEM系列台式扫描电子显微镜在岩石分析中的应用

岩石作为地球地壳的主要构成物质之一&#xff0c;其微观结构对于了解地质过程、资源勘探以及工程建设具有重要意义。按照岩石的成因&#xff0c;可以把它们分为三类&#xff1a;岩浆岩、沉积岩和变质岩。在地球表面&#xff0c;沉积岩占据75%的份额&#xff0c;而在地壳深度&am…

Family Day/园区参观路径(C语言)

题目描述 园区某部门举办了Family Day&#xff0c;邀请员工及其家属参加&#xff1b; 将公司园区视为一个矩形&#xff0c;起始园区设置在左上角&#xff0c;终点园区设置在右下角&#xff1b; 家属参观园区时&#xff0c;只能向右和向下园区前进&#xff0c;求从起始园区到终…

低代码中的工作流:简化开发流程,提升效率

低代码开发平台近年来在软件开发领域引起了广泛的关注和应用。它以提高开发效率、降低开发成本为目标&#xff0c;通过简化开发过程&#xff0c;使非专业开发者也能快速构建高品质的应用程序。其中&#xff0c;工作流引擎作为低代码开发平台的重要组成部分&#xff0c;对于提升…

使用C# Net6连接国产达梦数据库记录

达梦官网&#xff1a;http://www.dameng.com/ 1 下载达梦并进行安装 下载地址&#xff1a;官网首页——服务与合作——下载中心&#xff08;https://www.dameng.com/list_103.html&#xff09; 根据需要自行下载需要的版本&#xff0c;测试版本为&#xff1a;x86 win64 DM8版…

设计师必看!哪个云渲染平台便宜?

渲染100 溜云库 渲云 平均价格 9.27 9.37 9.51 Camera007 5.81 6.1 4.7 Camera008 18.66 17…

【C语言】中的位操作符和移位操作符,原码反码补码以及进制之间的转换

欢迎大家来到c语言知识小课堂&#xff0c;今天的知识点是操作符和进制 目录 一、进制之间的转化1、什么是二进制&#xff0c;八进制&#xff0c;十进制&#xff0c;十六进制2、进制之间的转化其他进制转化为十进制十进制转化为二进制二进制转化为八进制八进制转化为二进制二进…

三维GIS开发的就业前景

一、前言 三维GIS是一个伪概念,GIS是地理信息系统&#xff0c;三维GIS就是三维地理信息系统&#xff0c;在课本上&#xff0c;专业概念上&#xff0c;也没有这一说法吧&#xff0c;所以三维GIS&#xff0c;就是技术人员造概念拼凑造出来的&#xff0c;本质上就是GIS三维可视化…

【学习笔记】数据结构与算法03:栈与队列

知识出处&#xff1a;Hello算法&#xff1a;https://www.hello-algo.com/. 文章目录 2.2 栈和队列2.2.1 「栈 stack」2.2.1.1 栈的常用操作2.2.1.2 栈的典型应用 2.2.2「队列 queue」2.2.2.1 队列的常用操作2.2.2.2 队列的典型应用 2.2.3 双向队列 「double-ended queue」2.2.3…

2024 Impeller:快速了解 Flutter 的渲染引擎的优势

参考原文 &#xff1a;https://tomicriedel.medium.com/understanding-impeller-a-deep-dive-into-flutters-rendering-engine-ba96db0c9614 最近&#xff0c;在 Flutter 2024 路线规划里明确提出了&#xff0c;今年 Flutter Team 将计划删除 iOS 上的 Skia 的支持&#xff0c;…

java异常处理设计

异常的继承体系 java 中的异常的超类是 java.lang.Throwable(后文省略为 Throwable), 他有俩自类Exception和Error&#xff0c;Error是由jvm管理&#xff0c;我们不需要考虑。 RuntimeException是Exception的子类。 检查异常&#xff08;Checked Exceptions&#xff09;&#…

Sparse ICP的使用(一)

一、代码下载以及修改 下载以及建立项目&#xff1a; 链接&#xff1a;palanglois/icpSparse: Implementation of the sparse icp algorithm (github.com) 如果github进不去&#xff0c;我这里下载好了&#xff1a;Sparseicp源码资源-CSDN文库 下载好了之后&#xff0c;会…

【关于python变量类型学习笔记】

python的变量类型 在创建变量时会在内存中开辟一个空间&#xff0c;变量是存储在内存中的值。 根据变量的数据类型&#xff0c;解释器会分配指定内存&#xff0c;并决定什么数据可以被存储在内存中。 变量可以指定不同的数据类型&#xff0c;这些变量可以存储整数&#xff0c;…

Canvas绘制

Canvas绘制 一、介绍效果图 二、画圆1 写一个页面2 画一个圆&#xff08;点&#xff09;3 效果 三 画直线1 写一个页面2 画直线3 效果 四 用直线连接两个点1 写一个页面2 连线3 效果 五 画随机点1 写一个页面2 随机点3 效果 六 画随机点并连线1 写一个页面2 画点连线3 效果 七 …

项目成本和收益管理,用易趋就够了,项目价值可量化

最近看到一个吐槽贴&#xff0c;项目经理小刘说&#xff0c;“去年很多项目都成功交付了&#xff0c;为啥项目奖金还是这么少呢&#xff1f;一问领导是由于项目的绩效没有达成&#xff0c;尤其是很多项目的成本都超支了。”总结来说&#xff0c;这主要是由于没有达成项目预期的…