uni-app 安全漏洞 云打包 iOS 付费插件 漏洞 注入攻击风险 1 高危
uni-app 安全漏洞 云打包 iOS 付费插件 漏洞 注入攻击风险 1 高危
# 操作步骤:
无
# 预期结果:
无风险
# 实际结果:
APP名称:
课后延时服务-手机端-家长版-
APP包类型:
IOS
APP包版本:
3.2.16
检测机构:
公安部十一局
通报说明:
1. 30天内在教育部APP安全通报平台提交整改安装包并通过复测,完成整改工作。
2. 若不再继续运营的APP需提供盖章的公司证明文件,并在备案平台提交撤销备案。
检测结果:
漏洞- 注入攻击风险- 1- 高危
检测报告:
下载附件
检测时间:
2025-12-19 10:47:13
## bug描述:
自3.2.16版本,引入了付费插件,此版本提交以后,公安部十一局检测结果:
漏洞- 注入攻击风险- 1- 高危
因为付费插件必须云打包,因此我方无法获取插件源码,同时作为uni-app只包含了前端页面文件源码,并没有原生代码。
在本地打包代码存在:window.plus.bridge.execSync2(_Server,"__loadDylib"
猜测于此问题有关。
### 图片
更多关于uni-app 安全漏洞 云打包 iOS 付费插件 漏洞 注入攻击风险 1 高危的实战教程也可以访问 https://www.itying.com/category-93-b0.html
从附件“ 延时服务app漏洞.docx”提供的信息看是应用没有添加反注入攻击功能导致无法通过检测,与你提到的“window.plus.bridge.execSync2”无关。需要说明的是这个漏洞是iOS系统的漏洞,并不是uni-app框架的问题。检测报告中提到的两种攻击方式,第一种是在越狱环境本身iOS系统就不是安全环境(苹果官方也在防止系统被越狱);第二种是非越狱环境下重签名,在AppStore发布模式下只要开发者账号不被泄露是不会发生这种情况的。“ 延时服务app漏洞.docx”中也提供了解决方案:
建议开发者使用带有防注入攻击功能的iOS混淆加固产品
或者添加代码防止应用被动态注入攻击
方案1,可以找一个专门做加固功能产品,对HBuilderX云端打包生成ipa进行加固处理。
方案2,开发uni原生语言插件添加“ 延时服务app漏洞.docx”中提供的放注入逻辑代码,此方案需要有原生开发能力。如果自己无法解决,可以走付费技术支持来实现 内容为 AI 生成,仅供参考
更多关于uni-app 安全漏洞 云打包 iOS 付费插件 漏洞 注入攻击风险 1 高危的实战教程也可以访问 https://www.itying.com/category-93-b0.html
1、云端打包,2、付费插件,这两项均在我们自己的代码的可控范围之外。3、本项目中没有使用基础框架之外的原生能力,没有任何自主加载原生模块的功能。如果是插件有问题,那么也应该是市场对插件的管控不够严格。你们让他上架,而且你们允许他收费,我方是付费使用方。
已经联系了插件作者,使用的也是银联提供的SDK,只是做了包装透传。目前我们自己分析的结果是银联SDK存在"DYLD_INSERT_LIBRARIES"的使用。也就是高位风险可能导致注入的原因。
1、加固意味着持续的成本投入。2、uni-app的核心代码都是JS,本次的问题都是原生代码的问题,一旦使用付费插件就只能云端打包意味着我们作为开发者是无法控制原生代码。3、按照官方回答,还必须使用自己原生插件,才能干预原生代码。这些都是问题。
