怎么才能查出电脑硬件哪里不兼容_百度知道
怎么才能查出电脑硬件哪里不兼容
　　1、下载个测试软件测试一下，如鲁大师就可以测试。　　2、电脑本来运行好好的，多加一条内存后总是蓝屏或死机，再把增加的内存条取下去问题没有了，这就基本上可以确定是内存条电脑里其它的设备不兼容。　　3、内存与主板不兼容，内存与主板不兼容的故障较为常见，表现为昨天电脑还用的好好的，可是今天早晨一开机，即“嘀嘀”地叫个不停。只有打开机箱把内存条取下来重新插一下就好了。注意拔插内存条时一定要拔掉主机和电源线防止意外烧毁内存。这是故障轻的，严重的话需要把几个内存插槽都擦拭好几遍才能把机子点亮。可是用不了十天半个月就又会再出现报警的况。只要打开机箱把内存插一下就又好了。机器有问题只要点亮了就是连续运行十天半个月的一点问题也没有。可老是报警这谁也受不了。这种情况就是典型的内存与主板不兼容。　　4、键盘与主板不兼
键盘与主板不兼容的问题主要是键盘和鼠标的品质不好其芯片的数据取样速度与主板的接收不一致，在使用过程中就会不定期的出现键盘错误。　　5、显卡与主板不兼容，只要使用这块显卡，系统就会工作不稳定，要么频繁死机，要么经常掉显卡驱动。对于这种情况也有可能是因为显卡的驱动程序设计上有缺陷，造成显卡工作不稳定，致使系统死机。
其他类似问题
为您推荐：
提问者采纳
系统或电源也有问题、配置好电源跟不上、桌面右击属性貌似不是兼容问题
提问者评价
你的话提醒了我！！分给你！！
其他26条回答
你就直接让他们给你换机器毛病就是不兼容说来说去都是假的我以前装的机器
打cs1.5自己开机器人八个人
还一卡一卡的后来父亲急了
直接给人家喊起来了
当时就给换了这毛病心知肚明
1 玩游戏卡，是件烦心的事。你的配置玩一般游戏不成问题。至於升级，那没止境。看你做什么了！2 我不知你什么系统。为了流畅，必须让系统轻装运行。建议你 a让c分区的装载少，移出不常用的软件，让电脑启动项少（只保留输入法和杀毒）
运行---msconfig在启动项中选泽。关闭屏保，只用纯色桌面，如vista则关闭玻璃效果.......总之，减少资源占用，腾出内存，使游戏运行畅快！
b在玩游戏时，尽量关闭其他与游戏旡关的程序。4平日及时情理垃圾
碎片，和注册表，那些都会影响系统运行的。5把显示色调低点，也能增加帧数。 -点建议，希望对你有帮助，仅供参考
建议楼主,一、先用软件测试一下CPU温度和显卡温度.CPU不大于50度.显卡不大于60度正常.没软件就用手摸一下散热片,感觉一下,相信50度和60度的温度还是能感觉的差不多的.假如温度正常请看第二步。二、把魔兽和孤岛 GTA4全删了，重装一下客户端，因为这几款游戏都有上次游戏效果默认保存。还有升级程序和一些插件什么的。如果重装后还卡，那就用第三步三、以本人经验，内存和CPU很少出问题。假内存也足够用的。最有可能出现问题的是显卡。显卡也非常容易老化。最好用专业工具软件跑一下分数。没有的话，那就找个别的显卡替换一下试试吧。四、以上不行就只能替换主板了
硬件ATI显卡配AMD CPU应该是兼容的。现在这个配置还跑帧低,,那肯定是系统问题,,处理方法：1.全盘碎片整理
2.重装系统
3.重装系统后装好所有驱动（不一定要最新的,,要评价稳定的）
4.杀毒软件建议不装,,所以系统就建议用win7,,
5.试试跑游戏吧~！
怀疑你的显卡不是太好我的5200玩孤岛危机还很流畅哪是不是弄到水货了是的话
换个别的卡试一试比如9500GT或9800GT你的机子用这个卡浪费了
配置没多大问题，如果不放心硬件可以找下专业硬件检测工具检测下看是否是被刷过芯片；这个配置玩当前大部分游戏都没有问题，当然网速要跟上，给建议：1，清理系统垃圾文件，优化大师或者360即可，一般每月清理一次就行2，检测下你的网速多少，看看你的网速是否达到要求3，看是否有病毒杀毒也就这几个问题，如果照上面做后还是没有解决说声咱们继续探讨
GTA4是移植问题，这个配置吃不太消。孤岛危机效果全开这个帧数应该是正常范围，至于魔兽世界如果进入的是大场景，玩家人数巨大的地方，偶尔一个大转身很可能帧数降到10帧以下，但是如果一直处于10帧左右的话绝对不正常，你可以下载一个3DMARK，再下一个A卡补丁然后跑了看下得分，这个配置应该在接近10000分的地方。
用雨林木风9.9版的 稳定在安装官方最新驱动A卡驱动本来就不咋的 兼容不算好
你这个机器可能是硬件不兼容的问题，不是说性能好的硬件组合在一起总体性能就好，你最好去附近的电脑城看看，让人给你检测一下，换个件啥的！
双敏ATIHDMB你也想效果全开啊！我的 迪兰 4870 火钻
也吃不消啊！
这个很正常... 网吧3000的机器玩什么都不卡
你自己配置5000的机器 在家也许根本比不上 不兼容的事情现在很难遇到 三个原因 1 你的配置根本就有水 建议下个软件 测试一下你机器的游戏性能 你就明白了 说在高的配置都是假的
2 网络速度 对游戏流畅 影响是很大的 3系统问题 病毒引起 简单360卫士 杀毒来一遍 没问题就不是系统问题
ATI显卡是一个高频低能的显卡，建议你换个NV显卡，性能相当好，速度相当快，不过不要换刷过BIOS的垃圾卡。
特效全开你的显卡不行 别人比你的配置低但我敢肯定他绝对没特效全开低点画质 没有太大影响
用最经典的排除法，找个电脑维修点挨着换换件试试，就知道哪里不对了
原因如下：1、散热。此问题存在可能性较小。2、病毒。杀一下也不会吗 ？3、显卡驱动升级一下，下载个：鲁大师。不错的。4、.....
软件 方面 有毒了
换换深度 9.2
这种情况 杀毒白扯 系统乱了 只能重装 还有 内存 有可能是假的坏了
第一，重装系统试试看？用安装版的，不要用GHOST的第二，硬件的驱动是否安装好了？没装驱动有时候不能发挥全部性能！第三，电脑的设置是否正确？比如你在驱动里面不小心开了抗锯齿……第四，将硬件换到其他电脑上面看看，是否正常，也有可能是硬件出问题！
硬件没有问题，怀疑是系统问题。
1用驱动精灵升级驱动2不行就重做系统
应该是系统问题，实在不行做个原版的试试看吧！
这个好简单。让专业人员解决。。。
这个应该是系统的问题了，看下有没有安装AMD的双核补丁，好有换下显卡的驱动，我想应该可以解决问题的
可能是电脑散热问题！~你可以开机箱盖子！~找个电风扇对着吹下！~
电脑装的东西太多，你的配置玩魔兽保证你没问题，清理下电脑垃圾文件、碎片。最重要杀病毒！！！
电脑硬件的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁&&|&&责编：蔡文清
&&&&基于&4.2.2系统的安卓视窗系统逐渐成为标配。国内一线品牌如、、、、、PIPO等均已发布包含SDK2.0的支持安卓视窗系统的全新固件，同时也标志着“安卓的多视窗时代”的到来。&&&&安卓视窗系统，给我们带来更多的搭配和选择程序的空间，像Windows一样的操控方式，使安卓的体验更加多变。&&&&与此同时，问题也随之而来：是否当前主流的APP应用程序都能兼容安卓视窗系统？例如1/2屏或1/4屏？下面我们就针对大量主流App应用进行兼容性测试。测试机型：RK3188四核方案，机型为&PRO，CPU最高主频1.6GHz，跑分18000+。测试视频：主流App应用1/4屏测试&&&&首先，我们针对使用频率最高的QQ、微博、图库、视频等几个项目进行测试，结果还是十分令人满意的。QQ2013、微博HD、图库、MX播放器四个项目均能实现1/4屏，把桌面四等分，且在1/4屏后，程序功能的响应速度丝毫没有受到任何影响。&&&&例如微博，仍然保持了完整的程序界面，除了缩放为1/4屏，感觉不到任何变化。视频播放和电子书测试&&&&然后我们测试了视频与电子书应用。通过测试可以发现，视频播放未并受缩放影响，功能与画质、速度均表现正常。如此看来，一台平板实现两个人同时使用，一人看大片，一人看电子书，毫无压力。相较传统，App的实用性与宽容性都变得更有想象空间。多网页同时浏览网页游戏和在线直播视频同时运行&&&&多网页同时观看是安卓视窗系统最典型的功能，也是测试安卓视窗系统兼容性不可或缺的环节。由于一个浏览器一次只能看一个窗口，即使加入多标签也要进行切换，这个过程非常繁琐，若能够利用多个浏览器进行多视窗同步浏览，就变得非常易用。&&&&在测试时，我们使用了遨游、、chrome等多个浏览器。可以发现，多网页同时浏览各司其职，互不影响。观看在线直播的体育比赛的同时，还能挂网页游戏，只要打开两个窗口，一切都能实现。同时运行两个游戏并支持同时操作&&&&平板游戏App是否也能实现“单人双打”？我们以《愤怒的小鸟》和《植物大战僵尸》为例，测试结果表明，两个APP不仅能够完美支持安卓视窗系统，还可以同时操作。这就意味着，两个人可以同时在同一台平板上玩各自喜欢的游戏，互不冲突。办公软件测试&&&&对上班族来说，一边查资料一边进行文档编辑是常见的使用习惯，我们也测试了这个环节。将浏览器与文档编辑软件同时放在一起，左复制右粘贴，简便快捷。就像在Windows操作一样，不过鼠标被指尖替代。计时器、时钟、日历同时运行测试&&&&进入安卓4.2.2系统后，计时器，时钟会坐在一起，如果再同时加上日历，那么查黄历，看时间的功能将无比强大。音乐播放器和应用下载工具测试&&&&&最后是天天动听与豌豆荚市场，这两个竖屏的程序，多视窗也没有问题。&&&&总结：&&&&由于安卓系统天生的技术瓶颈，应用软件无法同时运行多个实例窗口，例如四个播放器同时运行。但现在，全新的安卓视窗系统终于突破了这个技术屏障。参加测试的40款App应用名单&&&&从测试结果可见，无论是哪几款App应用，均能顺利实现1/2或1/4多视窗，完美支持安卓视窗系统。不过需要特别说明的是，目前仅有A9四核处理器能支持安卓视窗系统，A7由于性能较弱，还无法获得的支持。
产品定位 操作系统
天津重庆哈尔滨沈阳长春石家庄呼和浩特西安太原兰州乌鲁木齐成都昆明贵阳长沙武汉郑州济南青岛烟台合肥南京杭州东莞南宁南昌福州厦门深圳温州佛山宁波泉州惠州银川
本城市下暂无经销商
平板论坛精选
下载中关村在线Android 客户端
下载中关村在线 iPhone 客户端
下载中关村在线Windows8客户端
成为中关村在线微信好友
4￥12995￥25996￥37007￥12998￥16999￥300010￥1999Android APP检测之自动化检测实战：五大APP安全在线检测平台对比
最近一直在研究的检测，写了一个系列的文章&&手工检测，自动化检测，常见漏洞分析。今天给大家带来的是自动化检测。本篇没有深入的讲解每一个漏洞的详情，仅作测试结果对比和自己的体验心得。
0&01 五大在线检测平台
腾讯的金刚审计系统 http://service./kingkong
360的捉虫猎手 /
阿里巴巴的聚安全/gc/appsec/index.htm
百度的移动云测试中心/
梆梆加固测试平台（/apps/index）
这里选用墨迹天气app的测试结果
百度移动测试中心
组件暴露&&Activity
当应用程序的组件被导出后，导出的组件可以被第三方app任意调用，从而导致敏感信息泄露，而且恶意攻击者也可以通过精心构造数据来达到攻击目标应用的的目的。
如果组件不需要与其他应用共享数据或进行交互，则在AndroidManifest.xml文件中设置该组件为 exported = &false&，反之，则需要对导出的组件进行权限控制并且严格校验传入的参数。
com.moji.mjweather.activity.main.MainActivity com.moji.mjweather.CSplashScreen com.moji.mjweather.activity.share.ManualShareActivity com.moji.mjweather.activity.skinshop.SkinSelectorActivity com.kepler.jd.login.AuthSuccessActivity com.moji.mjweather.activity.liveview.MessageDetailActivity com.moji.mjweather.activity.liveview.OwnerMessageCenterActivity com.moji.mjweather.activity.account.SnsLoginActivity com.moji.mjweather.activity.liveview.HomePageActivity com.moji.mjweather.activity.voiceclock.AlarmAlertActivity com.moji.mjweather.activity.voiceclock.AlarmAlertFullScreenActivity com.moji.mjweather.activity.share.SharePlatformDialog com.tencent.tauth.AuthActivity com.moji.mjweather.activity.liveview.LauncherCameraActivity com.moji.mjweather.activity.bindapp.InstallAppActivity com.moji.mjweather.activity.settings.WidgetConfigureActivity com.igexin.sdk.GActivity com.moji.mjweather.wxapi.WXPayEntryActivity com.moji.mjweather.wxapi.WXEntryActivity com.moji.mjweather.activity.forum.TopicActivity com.moji.mjweather.x5webview.BrowserActivity 共：21个。
组件暴露&&Service
当应用程序的组件被导出后，导出的组件可以被第三方app任意调用，从而导致敏感信息泄露，而且恶意攻击者也可以通过精心构造数据来达到攻击目标应用的的目的。
如果组件不需要与其他应用共享数据或进行交互，则在AndroidManifest.xml文件中设置该组件为 exported = &false&，反之，则需要对导出的组件进行权限控制并且严格校验传入的参数。
com.moji.mjweather.service.ScreenService com.igexin.sdk.PushService com.igexin.sdk.PushServiceUser com.moji.mjweather.authaccount.AuthenticationService com.moji.mjweather.authaccount.SyncService 共：5个。
组件暴露&&BroadcastReceiver
当应用程序的组件被导出后，导出的组件可以被第三方app任意调用，从而导致敏感信息泄露，而且恶意攻击者也可以通过精心构造数据来达到攻击目标应用的的目的。
如果组件不需要与其他应用共享数据或进行交互，则在AndroidManifest.xml文件中设置该组件为 exported = &false&，反之，则需要对导出的组件进行权限控制并且严格校验传入的参数。
com.moji.mjweather.receiver.PackageReceiver com.moji.mjweather.receiver.MojiReceiver com.moji.mjweather.CMojiWidget4x1 com.moji.mjweather.CMojiWidget4x2 com.moji.mjweather.CMojiWidget5x1 com.moji.mjweather.CMojiWidget5x2 com.igexin.sdk.PushReceiver com.igexin.download.DownloadReceiver com.baidu.bottom.service.BottomReceiver com.zk.drivermonitor.reciever.SystemStartReceiver 共：10个。
应用数据任意备份风险
当AndroidManifest.xml配置文件中没有有设置allowBackup标志(默认为true)或将allowBackup标志设置为true时，应用程序的数据可以被任意备份和恢复，恶意攻击者可以通过adb工具备份复制应用程序的数据。
在AndroidManifest.xml文件中设置application的属性 android:allowBackup=&false&
权限滥用风险
自定义权限的保护级别过低，导致任意应用程序都可以使用此权限，无法起到保护作用。
如非必要，自定义权限的保护级别至少要设置为：signature。
WebView组件系统隐藏接口未移除漏洞
使用Android WebView组件时，没有移除其中内置的searchBoxJavaBridge_，accessibility和accessibilityTraversal等导出接口, 可能导致远程代码任意执行
使用Android WebView组件时，通过调用removeJavascriptInterface方法移除searchBoxJavaBridge_, accessibility和accessibilityTraversal等导出接口，防止被恶意利用
源文件： 类：com.baidu.mobad.feeds.remote.BaiduActivity 方法：a 行数：-1
WebView组件系统隐藏接口未移除漏洞
使用Android WebView组件时，没有移除其中内置的searchBoxJavaBridge_，accessibility和accessibilityTraversal等导出接口, 可能导致远程代码任意执行
使用Android WebView组件时，通过调用removeJavascriptInterface方法移除searchBoxJavaBridge_, accessibility和accessibilityTraversal等导出接口，防止被恶意利用
源文件： 类：com.m.plugin.j.a 方法：onAfterCreate 行数：-1
Dex文件动态加载风险
Android提供的DexClassLoader动态加载方法，并没有对DEX文件和路径进行安全校验，可能导致加载文件或者优化文件被恶意替换
使用DexClassLoader方法动态加载DEX文件时，对DEX文件进行安全校验，并保证加载路径和优化路径的安全
源文件： 类：com.baidu.mobad.feeds.remote.AdManager 方法：getPatchClassLoader 行数：-1
SSL证书验证不当漏洞
应用忽略证书校验错误或信任任意证书，会导致中间人攻击，造成隐私泄露
禁止使用ALLOW_ALL_HOSTNAME_VERIFIER；禁止使用X509TrustManager.checkServerTrusted方法来忽略证书验证错误；在使用HostnameVerifier时verify合理处理，禁止直接返回true
源文件： 类：com.m.plugin.k.d$a$1 方法：verify 行数：-1
WebView密码明文保存漏洞
在默认情况下，如果用户选择保存在WebView中输入的用户名和密码，则会被明文保存到应用数据目录的databases/webview.db文件中，存在密码被泄露的风险
使用WebView.getSettings().setSavePassword(false)来禁止保存密码
源文件： 类：com.m.plugin.m.f 方法：a 行数：-1
WebView密码明文保存漏洞
在默认情况下，如果用户选择保存在WebView中输入的用户名和密码，则会被明文保存到应用数据目录的databases/webview.db文件中，存在密码被泄露的风险
使用WebView.getSettings().setSavePassword(false)来禁止保存密码
源文件： 类：com.m.plugin.m.f 方法：b 行数：-1
WebView密码明文保存漏洞
在默认情况下，如果用户选择保存在WebView中输入的用户名和密码，则会被明文保存到应用数据目录的databases/webview.db文件中，存在密码被泄露的风险
使用WebView.getSettings().setSavePassword(false)来禁止保存密码
源文件： 类：com.m.plugin.j.a 方法：onAfterCreate 行数：-1
WebView密码明文保存漏洞
在默认情况下，如果用户选择保存在WebView中输入的用户名和密码，则会被明文保存到应用数据目录的databases/webview.db文件中，存在密码被泄露的风险
使用WebView.getSettings().setSavePassword(false)来禁止保存密码
源文件： 类：com.baidu.mobad.feeds.remote.BaiduActivity 方法：a 行数：-1
WebView密码明文保存漏洞
在默认情况下，如果用户选择保存在WebView中输入的用户名和密码，则会被明文保存到应用数据目录的databases/webview.db文件中，存在密码被泄露的风险
使用WebView.getSettings().setSavePassword(false)来禁止保存密码
源文件： 类：com.baidu.mobad.feeds.remote.BaiduActivity$1 方法：shouldOverrideUrlLoading 行数：-1
WebView密码明文保存漏洞
在默认情况下，如果用户选择保存在WebView中输入的用户名和密码，则会被明文保存到应用数据目录的databases/webview.db文件中，存在密码被泄露的风险
使用WebView.getSettings().setSavePassword(false)来禁止保存密码
源文件： 类：com.baidu.mobad.feeds.remote.DownloaderTask 方法：a 行数：-1
PendingIntent包含隐式Intent风险
PendingIntent以其发送方应用的权限使用该PendingIntent包含的Intent，如果该Intent为隐式的，可能造成隐私泄露和权限泄露
使用PendingIntent时，建议使用显示Intent
源文件： 类：com.baidu.mobad.feeds.remote.download.e 方法：run 行数：-1
PendingIntent包含隐式Intent风险
PendingIntent以其发送方应用的权限使用该PendingIntent包含的Intent，如果该Intent为隐式的，可能造成隐私泄露和权限泄露
使用PendingIntent时，建议使用显示Intent
源文件： 类：com.m.plugin.a.b.c 方法：d 行数：-1
PendingIntent包含隐式Intent风险
PendingIntent以其发送方应用的权限使用该PendingIntent包含的Intent，如果该Intent为隐式的，可能造成隐私泄露和权限泄露
使用PendingIntent时，建议使用显示Intent
源文件： 类：com.m.plugin.a.i 方法：b 行数：-1
WebView密码明文保存漏洞
在默认情况下，如果用户选择保存在WebView中输入的用户名和密码，则会被明文保存到应用数据目录的databases/webview.db文件中，存在密码被泄露的风险
使用WebView.getSettings().setSavePassword(false)来禁止保存密码
源文件： 类：com.m.plugin.m.c 方法：d 行数：-1
日志泄露隐私风险
调试输出接口未关闭可能导致敏感信息泄露
关闭调试接口，禁止输出敏感信息
源文件： 类：com.baidu.mobads.location.BDLocManager 方法：a 行数：-1
日志泄露隐私风险
调试输出接口未关闭可能导致敏感信息泄露
关闭调试接口，禁止输出敏感信息
源文件： 类：com.m.plugin.g.a 方法：a 行数：-1
日志泄露隐私风险
调试输出接口未关闭可能导致敏感信息泄露
关闭调试接口，禁止输出敏感信息
源文件：src/com/qihoo/util/StubApplication.java 类：com.qihoo.util.StubApplication 方法：initCrashReport 行数：93
梆梆加固测试结果:
内网测试信息残留漏洞
内网测试信息残留漏洞
检测程序代码内部是否包含残留测试信息，例如内网url地址等。
通过检测是否包含内网URl地址,判断是否发布包中是否包含测试数据。残留的测试数据，例如URL地址，测试账号，密码，可能会被盗取并恶意利用在正式服务器上进行攻击，例如账号重试，攻击安全薄弱的测试服务器以获取服务器安全漏洞或者逻辑漏洞。
该App应用中未包含测试数据信息。
下载任意apk漏洞
下载任意apk漏洞
检测应用中是否存在下载任意apk的漏洞。
具有下载apk功能的组件存在导出漏洞，并且未对组件调用者进行校验。攻击者可利用导出组件的手段下载攻击者指定的任意apk文件，并且在下载过程中伪装apk文件的下载信息，例如图标、描述等，导致用户被诱导下载安装恶意应用。
该App应用中不存在可被导出的具有下载apk功能的组件。
HTTPS未校验服务器证书漏洞
HTTPS未校验服务器证书漏洞
检测App程序在使用HTTPS协议传输数据时是否对服务器证书进行完整校验。
使用HTTPS协议时，客户端必须对服务器证书进行完整校验，以验证服务器是真实合法的目标服务器。如果没有校验，客户端可能与仿冒的服务 器建立通信链接，即&中间人攻击&。仿冒的中间人可以冒充服务器与银行客户端进行交互，同时冒充银行客户端与银行服务器进行交互，在充当中间人转发信息的 时候，窃取手机号，账号，密码等敏感信息。
该App应用在使用HTTPS进行数据传输时未校验服务器证书或者未校验主机名。
[&com.moji.mjweather.util.log.InstalledAppTrackerSDK.a:(ILjava/lang/SLorg/apache/http/client/methods/HttpP)Ljava/lang/S&]
在使用https时对服务器证书进行校验，并且使用STRICT_HOSTNAME_VERIFIER严格校验主机名。
Webview远程代码执行漏洞
Webview远程代码执行漏洞
检测app应用的webview组件中是否存在远程代码执行漏洞。
Webview是Android用于浏览网页的组件，其包含的接口函数addJavascriptInterface可以将Java类或方 法导出以供JavaScript调用，实现网页JS与本地JAVA的交互。由于系统没有限制已注册JAVA类的方法调用，因此未注册的其它任何JAVA类 也可以被反射机制调用，这样可能导致被篡改的URL中存在的恶意代码被执行，用户手机被安装木马程序，发送扣费短信，通信录或者短信被窃取，甚至手机被远 程控制。
该App应用中可能存在被addJavascriptInterface接口导出的未注册Java类函数。
[&com.tencent.bugly.crashreport.CrashReport.setJavascriptMonitor:(Landroid/webkit/WebVZZ)Z&]
取消使用addJavascriptInterface接口，以其他Java与 JavaScript互通方案代替；若必须使用，则应对访问的url进行过滤限制或对html页面进行完整性校验，同时显示移除对指定的 javascript接口的调用： removeJavascriptInterface(searchBoxJavaBridge_) emoveJavascriptInterface(accessibility)；removeJavascriptInterface(accessibilityTraversal)；。
Webview绕过证书校验漏洞
Webview绕过证书校验漏洞
检测App应用的webview组件是否在发现https网页证书错误后继续加载页面。
客户端的Webview组件访问使用HTTPS协议加密的url时，如果服务器证书校验错误，客户端应该拒绝继续加载页面。但如果重载 WebView的onReceivedSslError()函数并在其中执行handler.proceed()，客户端可以绕过证书校验错误继续访问此 非法URL。这样将会导致&中间人攻击&，攻击者冒充服务器与银行客户端进行交互，同时冒充银行客户端与银行服务器进行交互，在充当中间人转发信息的时 候，窃取手机号，账号，密码等敏感信息。
该App应用的webview组件中存在忽略证书校验错误的漏洞。
[&&& &com.alipay.sdk.app.b.onReceivedSslError:(Landroid/webkit/WebVLandroid/webkit/SslErrorHLandroid/net/http/SslE)V&,&&& &com.alipay.sdk.app.d.onClick:(Landroid/content/DialogII)V&,&&& &com.alipay.sdk.auth.AuthActivity.b.onReceivedSslError:(Landroid/webkit/WebVLandroid/webkit/SslErrorHLandroid/net/http/SslE)V&,&&& &com.alipay.sdk.auth.f.onClick:(Landroid/content/DialogII)V&,&&& &com.tencent.smtt.sdk.aw.b.proceed:()V&]
取消在Webveiw组件中对onReceivedSslError()函数的重载。
360捉虫猎手检测结果：
因结果扫了很久还没出来，就直接来张其他app的扫描结果吧
阿里聚对墨迹天气的安全检测结果:
webview远程代码执行漏洞（2个）addJavascriptInterface存在高危远程代码执行漏洞,应尽量避免使用,API 17中用@JavascriptInterface 代替addjavascriptI移除系统webkit内置的危险接口searchBoxJavaBridge_,accessibility,accessibilityTraversal [ 了解更多 ] [ 实际案例 ]
高危触及安全红线
应尽量避免使用,API 17中用@JavascriptInterface 代替addjavascriptI移除系统webkit内置的危险接口searchBoxJavaBridge_,accessibility,accessibilityTraversal
WebView不校验证书漏洞（1个）调用了android/webkit/SslErrorHandler类的proceed方法,可能导致WebView忽略校验证书的步骤
高危触及安全红线
不要调用android.webkit.SslErrorHandler的proceed方法
中间人攻击漏洞（1个）HTTPS禁止使用ALLOW_ALL_HOSTNAME_VERIFIER，因为这样会存在中间人攻击的风险 [ 了解更多 ]
高危触及安全红线
必须使用STRIC_HOSTNAME_VERIFIER并校验证书
备份标识配置风险（1个）当这个标志被设置为true或不设置该标志时应用程序数据可以备份和恢复，adb调试备份允许恶意攻击者复制应用程序数据。 [ 了解更多 ] [ 实际案例 ]
中危触及安全红线
在AndroidManifest.xml中设置android:allowBackup=&false&
拒绝服务漏洞（22个）不校验导出组件（Activity，Service等）的传递参数，导致拒绝服务，需注意空值判定以及类型转换判断。 [ 了解更多 ] [ 实际案例 ]
中危触及安全红线
请严格校验输入参数，注意空值判定和类型转换判断，防止由于异常输入导致的应用崩溃.
SharedPrefs任意读写漏洞（2个）存在内容被替换的风险，SharedPreference禁止使用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE [ 了解更多 ]
中危触及安全红线
不要使用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE。
主机名弱效验（3个）在实现的HostnameVerifier子类中未对主机名做效验，这样会导致恶意程序利用中间人攻击绕过主机名效验。利用HostnameVerifier子类中的verify函数效验服务器主机名的合法性。
中危触及安全红线
在实现的HostnameVerifier子类verify函数中校验主机名的合法性。
证书弱校验（3个）在实现的HostnameVerifier子类中未对主机名做效验，这样会导致恶意程序利用中间人攻击绕过主机名效验。利用HostnameVerifier子类中的verify函数效验服务器主机名的合法性。
中危触及安全红线
在实现的X509TrustManager子类中checkServerTrusted函数效验服务器端证书的合法性。
File任意读写漏洞（7个）存在内容被替换的风险，openFileOutput禁止使用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE [ 了解更多 ]
中危触及安全红线
不要使用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE。
随机数生成函数使用错误（1个）使用SecureRandom时不要使用SecureRandom (byte[] seed)这个构造函数，会造成生成的随机数不随机。 [ 了解更多 ]
建议通过/dev/urandom或者/dev/random获取的熵值来初始化伪随机数生成器PRNG
AES/DES弱加密风险（19个）使用AES/DES加密算法时，应显式指定使用CBC或CFB模式.否则容易受到选择明文攻击(CPA)的风险，造成信息泄露。
使用AES/DES加密算法时应使用CBC或CFB模式。或者使用安全组件的安全加密接口SecurityCipher进行加密。
Native动态调试（1个）so文件存在被调试的风险，攻击者可以利用此风险对应用进行动态调试，造成核心逻辑和敏感数据等信息泄漏。
聚安全安全组件通过监控进程的多种调试状态特征，给应用提供全方位的反调试保护。
密钥硬编码风险（9个）本地存储密钥存在被攻击者利用并通过密钥构造伪数据的风险。 [ 实际案例 ]
1、禁止把密钥写死在程序中，2、使用聚安全提供的安全加密组件。
初始化IvParameterSpec函数错误（7个）使用固定初始化向量，结果密码文本可预测性会高得多，容易受到字典式攻击。修复建议：1、禁止使用常量初始化矢量参数构建IvParameterSpec，2、推荐使用聚安全提供的安全组件。 [ 实际案例 ]
修复建议：1、禁止使用常量初始化矢量参数构建IvParameterSpec，2、推荐使用聚安全提供的安全组件。
未进行安全加固风险（1个）应用没有被安全加固，攻击者可以利用重打包等手段修改程序的原始逻辑和内容，并上传仿冒app到第三方应用市场，欺骗用户。 [ 实际案例 ]
建议使用聚安全的应用加固方案，聚安全应用加固提供对dex、so等文件的保护以及混淆。
PendingIntent误用风险（5个）使用PendingIntent的时候，如果使用了一个空Intent，会导致恶意用户劫持修改Intent的内容。禁止使用一个空Intent去构造PendingIntent，构造PendingIntent的Intent一定要设置ComponentName或者action。
禁止使用一个空Intent去构造PendingIntent，构造PendingIntent的Intent一定要设置ComponentName或者action。
Webview明文存储密码漏洞（5个）使用Webview时需要关闭webview的自动保存密码功能，防止用户密码被webview明文存储。
显示设置webView.getSetting().setSavePassword(false)
未移除有风险的Webview系统隐藏接口（17个）android webview组件包含3个隐藏的系统接口：searchBoxJavaBridge_, accessibilityTraversal以及accessibility，恶意程序可以利用它们实现远程代码执行。请通过显示调用removeJavascriptInterface移除这三个系统隐藏接口。 [ 实际案例 ]
请通过显示调用removeJavascriptInterface移除这三个系统隐藏接口。
数据弱保护（1个）数据安全保护级别较低，攻击者可以通过逆向分析等手段，较容易得获取应用的关键数据，比如签名算法、加密密钥、加密数据等。
推荐使用安全组件的数据加签和安全存储功能，提高应用的安全保护级别。
日志泄漏风险（20个）使用System.out.print等标准输出打印日志信息或转存日志信息，容易泄漏敏感信息。建议删除所有使用System.out.print等标准输出打印日志或转存日志信息的代码 [ 实际案例 ]
建议删除所有使用System.out.print等标准输出打印日志或转存日志信息的代码
关于阿里巴巴的聚安全，聚安全会给代码详情打码，如下图（4.1号以后的新规则，需要验证app的签名，会给你一个demo,你需要把keystore签到阿里官方给的demo中，验证应用开发者，然后才能看到详情）如下图：
有些朋友说，出现了这个 &为保护应用隐私，查看详情漏洞位置请先申请应用所有权认证&，
如何签名：
jarsigner -verbose -keystore [keystorePath] -signedjar [apkOut] [apkin] [alias]
命令格式及参数意义：
-verbose -& 输出签名过程的详细信息
-keystore [keystorePath] -& 密钥的库的位置
-signedjar [apkOut] -& 签名后的输出文件名
[apkin] -& 待签名的文件名
[alias] -& 证书别名
D:\&jarsigner -verbose -keystore demo.keystore -signedjar jaq_demo_signed.apk jaq_demo.apk demo.keystore
下面讲下如何对app的应用开发者进行认证：
那么如何签名呢
创建一个keystore，用来存放签名app时要用的：
keytool -genkey -v -keystore relax.keystore -alias rela -keyalg RSA 生成私钥
用私钥对apk进行重新签名
root@kali:~/Desktop# jarsigner -verbose -sigalg MD5withRSA --digestalg SHA1 -keystore /root/Desktop/relax.keystore jaq_demo_5.apk& rela
就是说，使用开发者的keystore对聚安全的那个demo.apk进行签名，然后就完成了认证
聚安全的一些其他看点
聚安全结合乌云，里面有很多实例，有很多常用漏洞的集合，是新手快速解决问题的好去处。
聚安全还有一个仿冒监测：（这里说下为什么会出现仿冒软件，因为app没有加固，导致被反编译，被打包后，植入而已代码后又在其他地方上线，所以这里忠告一下，下app，一定要去官方网站上下载，能提供验证MD5，尽量要验证一下）
检测结果总结：
阿里聚安全问题汇总：
webview远程代码执行漏洞
WebView不校验证书漏洞
中间人攻击漏洞
备份标识配置风险
拒绝服务漏洞
SharedPrefs任意读写漏洞
主机名弱效验
证书弱校验
File任意读写漏洞
随机数生成函数使用错误
AES/DES弱加密风险
Native动态调试
密钥硬编码风险
初始化IvParameterSpec函数错误
未进行安全加固风险
PendingIntent误用风险
Webview明文存储密码漏洞
未移除有风险的Webview系统隐藏接口
数据弱保护
日志泄露隐私风险（logcat日志输出)
百度移动测试中心问题汇总：
组件暴露&&Activity
组件暴露&&Service
组件暴露&&BroadcastReceiver
应用数据任意备份风险
权限滥用风险
WebView组件系统隐藏接口未移除漏洞
Dex文件动态加载风险
SSL证书验证不当漏洞
WebView密码明文保存漏洞
PendingIntent包含隐式Intent风险
日志泄露隐私风险
最后看下梆梆的检测结果：
Java代码保护风险
组件导出风险
敏感函数调用风险
调试日志函数调用风险
应用数据任意备份风险
明文数字证书风险
未使用HTTPS协议的数据传输风险
Webview明文存储密码风险
HTTPS未校验服务器证书漏洞
Webview远程代码执行漏洞
Webview绕过证书校验漏洞
梆梆的新鲜的亮点: 到一处 直接打印出app里涉及到的url列表地址了，是不是涉及到很多新鲜的子域名和url。
总结和一些争议
评估一下APP的安全性可以综合参考以上的检测，然后综合性的评估，阿里的需要验证开发者权限，百度那个要花钱的，还不错，梆梆也可以（很方便渗透额），360怎么一直扫描不出报告。开发不一定能改第三方的包的安全问题，所以本包的问题能改的尽量改，咱们能做的就是给app进行加固。
加固前后效果对比：
加固后，可以看到数据备份还是没有打钩，因为，我没对apk中的（在AndroidManifest.xml中设置android:allowBackup=&false&）这个设置项进行更改。
本次在线检测实战旨在帮助开发者更快的评估自己的android问题，作为一个菜鸟app检测人员，希望带给大家的是让自己的app更加安全，当然安全从开发开始构思时，就该考虑是否使用第三方包，这样，对app的安全更加可控。
顶一下(0) 踩一下(0)
热门标签：