【建站服务】牡丹江申请400电话费用【牡丹江企业全国热线电话办理】牡丹江开通400电话电信价格、牡丹江微信公众号代运营外包托管、牡丹江网店编辑装修美工、牡丹江网站推广优化大概需要多少钱-域名申请

当前位置：首页» 行业网站案例 » 【建站服务】牡丹江申请400电话费用【牡丹江企业全国热线电话办理】牡丹江开通400电话电信价格、牡丹江微信公众号代运营外包托管、牡丹江网店编辑装修美工、牡丹江网站推广优化大概需要多少钱-域名申请

作者: 风兰 . 阅读量： 3 . 发表时间：2022-09-20 15:29:02

网站建设

上往建站提供服务器空间服务商，百度快照排名，网站托管，百度推广运营,致力于设计外包服务与源代码定制开发，360推广，搜狗推广,增加网站的能见度及访问量提升网络营销的效果,主营：网站公司,百度推广公司电话,官网搭建服务,网站服务企业排名,服务器空间,英文域名等业务，专业团队服务，效果好。

牡丹江申请400电话费用【牡丹江企业全国热线电话办理】牡丹江开通400电话电信价格、牡丹江微信公众号代运营外包托管、牡丹江网店编辑装修美工、牡丹江网站推广优化大概需要多少钱

牡丹江市，别称雪城，是黑龙江省地级市，国务院批复确定的黑龙江省东南部重要的中心城市和风景旅游城市 [1] 。全市共辖4个市辖区、5个县级市、1个县，总面积4.06万平方千米，总人口280万人。 [2]

牡丹江地处中国东北地区，东北亚经济圈中心区域，与俄罗斯边境线长211公里。牡丹江是“中蒙俄经济走廊”龙江丝路带的重要战略支点，中国对俄沿边开放的桥头堡和枢纽站。牡丹江属中温带大陆性季风气候，素有“塞外江南”、“鱼米之乡”的美誉。域内G10、G11国道和滨绥、图佳铁路贯穿全境。 [3]

牡丹江市，因黑龙江省松花江上最大支流之一的牡丹江横跨市区因而得名。牡丹江市已开发利用的主要风景名胜古迹及人文景点有火山口国家森林公园、牡丹峰国家森林公园和国家自然保护区、雪乡滑雪场、牡丹峰滑雪场、八女投江纪念群雕、横道河子东北虎林园及冬季在牡丹江江面上建设的雪堡等。2017年12月，当选“中国十佳冰雪旅游城市”

然而，仔细查看实现了Telephony接口的PhoneInterfaceManager类源码（Android 4.2版本中），你会看到getNeighboringCellInfo方法实际上检查了ACCESS_FINE_LOCATION或ACCESS_COARSE_LOCATION权限是否存在，而文档中指出的不是这两个权限，反而是一个根本不存在的权限。

public List<NeighboringCellInfo> getNeighboringCellInfo() {
        try {
            mApp.enforceCallingOrSelfPermission(
                    android.Manifest.permission.ACCESS_FINE_LOCATION,
                   null);
        } catch (SecurityException e) {
        //如果我们有ACCESS_FINE_LOCATION权限，请忽略对ACCESS_COARSE_LOCATION的检查
        // 错误会从ACCESS_COARSE_LOCATION抛出安全异常，因为这是较弱的先决条件
            mApp.enforceCallingOrSelfPermission(
              android.Manifest.permission.ACCESS_COARSE_LOCATION, null);
        }复制代码

这种类型的疏忽，尽管可能看起来无伤大雅，但经常会给开发者带来不佳的实践，也就是权限申请不足，或者会造成更坏后果的权限申请过度。在权限申请不足的情况下，经常会导致可靠性或功能性的问题，如果对安全异常未进行处理，就会导致应用崩溃。而对于权限申请过度，更多的是安全性问题，想象一个充满漏洞并过度申请权限的应用被一个恶意应用所攻击，经常导致权限提升的情形。

关于权限映射研究的更多信息，请参考http://www.slideshare.net/quineslideshare/mapping-and-evolution-of-android-permissions。

在分析Android应用是否存在过度申请权限的情况时，比较应用申请的权限与应用的功能意图是非常关键的。一些特定的权限，如CAMERA和SEND_SMS等，对于第三方应用往往是不必要的。想要得到这些权限对应的功能，完全可以通过调用照相机或短信息应用来实现，让它们来处理任务，这有助于增加用户交互的安全性。

敏感数据的不安全传输

由于受到经常性的关注与审查，确保传输安全性的通用方法（如使用SSL、TLS协议等）基本得到了广泛的认知。然而遗憾的是，这些方法在移动应用中并没有得到全面的应用，这或许是由于开发者对于如何正确实现SSL/TLS还缺少了解，或者只是开发者持有不正确的观念：“如果通过运营商的网络进行通信，那就是安全的。”移动应用开发者有时并没有对传输中的敏感数据进行安全保护。

这类安全问题通常以如下的一种或多种方式出现：

弱加密或没有加密；
强加密，但缺少对安全警告或证书验证错误的处理；
在安全协议失效后使用明文；
在不同网络类型（如移动连接与Wi-Fi）上的传输安全使用上的不一致。

发现不安全传输问题就像监听目标设备的流量一样简单。构建一个中间人设备的详细过程不在我们的讨论范围，但是有大量的工具和教程可以帮助你完成这个任务。Android模拟器支持对网络流量进行代理，以及支持将流量转储为PCAP格式的网络数据文件。你可以分别通过传递-http-proxy或-tcpdump选项来完成这些功能。

不安全数据传输的一个突出的公开例子是，Google ClientLogin身份认证协议在Android 2.1至2.3.4版本某些组件中的实现。ClientLogin协议允许应用请求用户的Google账户认证令牌，然后后者可以被复用，以处理指定服务API的后续事务。

2011年，德国乌尔姆大学的研究者发现，Android 2.1至2.3.3版本的日历与联系人应用，以及Android 2.3.4版本上的Picasa Sync服务通过明文HTTP协议发送Google ClientLogin认证令牌。这一令牌被攻击者获得后，可以被重用来假冒成用户。因为有大量现成的工具与技术支持在Wi-Fi网络中执行中间人攻击，因此对这一令牌进行劫持非常简单，而这对通过不安全或不受信任的Wi-Fi网络上网的用户来说是个坏消息。

关于乌尔姆大学发现的Google ClientLogin安全漏洞的更多信息，参见http://www.uni-ulm.de/en/in/mi/staff/koenings/catching-authtokens.html。

不安全的数据存储

Android为数据存储提供了多种标准支持，包括共享配置文件（Shared Preferences）、SQLite数据库和原始文件。另外，每种存储类型还能以多种方式创建和访问，包括通过受管理代码或原生代码，或者通过类似于Content Providers的结构化接口。最普遍的错误包括对敏感数据的明文存储、未受保护的Content Providers接口（稍后讨论），以及不安全的文件权限。

一个同时存在明文存储和不安全文件权限两种安全问题的案例是Android版的Skype客户端，这个问题被于2011年4月被发现，由Justin Case（jcase）在http://AndroidPolice.com网站上发布。这个Skype应用创建了许多拥有全局可读和全局可写权限的文件，如SQLite数据库和XML文件等。另外，这些内容是没有经过加密的，而且还包含了配置数据和即时通信日志。以下显示了jcase自己手机上Skype应用的数据目录，以及部分文件内容。

# ls -l /data/data/com.skype.merlin_mecha/files/jcaseap-rw-rw-rw- app_152  app_152  331776 2011-04-13 00:08 main.db-rw-rw-rw- app_152  app_152  119528 2011-04-13 00:08 main.db-journal-rw-rw-rw- app_152  app_152   40960 2011-04-11 14:05 keyval.db-rw-rw-rw- app_152  app_152    3522 2011-04-12 23:39 config.xmldrwxrwxrwx app_152  app_152         2011-04-11 14:05 voicemail-rw-rw-rw- app_152  app_152       0 2011-04-11 14:05 config.lck-rw-rw-rw- app_152  app_152   61440 2011-04-13 00:08 bistats.dbdrwxrwxrwx app_152  app_152         2011-04-12 21:49 chatsync-rw-rw-rw- app_152  app_152   12824 2011-04-11 14:05 keyval.db-journal-rw-rw-rw- app_152  app_152   33344 2011-04-13 00:08 bistats.db-journal# grep Default /data/data/com.skype.merlin_mecha/files/shared.xml
      <Default>jcaseap</Default>复制代码

先抛开明文存储问题不说，不安全的文件权限起因于一个之前不太为人所知的Android原生文件创建问题。通过Java接口创建的SQLite数据库、共享配置文件和原始文件都使用0660的文件权限，这使得文件对于所属的用户ID和用户组ID都是可读写的，然而当通过原生代码或外部指令创建文件时，应用进程会继承其父进程Zygote的文件权限掩码0001，这意味着全局可读写。Skype客户端使用原生代码来实现它的绝大多数功能，包括创建这些文件并与之进行交互。

1对应的文件权限为777。——译者注

注意　Android 4.1版本之后，Zygote进程的文件权限掩码已经被设置到一个更加安全的值0772。

2对应的文件权限为700。——译者注

关于jcase发现的Skype安全漏洞的详细信息，请参考http://www.androidpolice.com/2011/04/14/exclusive-vulnerability-in-skype-for-android-is-exposing-your-name-phone-number-chat-logs-and-a-lot-more/。

通过日志的信息泄露

Android日志是信息泄露的一个主要途径，通过开发者对日志方法的滥用（通常是出于调试目的），应用可能会记录下包括普通的诊断消息、登录凭证或其他敏感数据的任何信息。甚至系统进程，如ActivityManager，也会对Activity调用的详细信息进行记录。带有READ_LOGS权限的应用通过logcat命令就可以获得对这些日志消息的访问权。