Os aplicativos Android podem ser configurados para produzir binários de depuração. Esses binários fornecem mensagens de depuração detalhadas e não devem ser usados em ambientes de produção. O atributo debuggable da tag <application> define se os binários compilados devem incluir informações de depuração.

O uso de binários de depuração faz com que um aplicativo forneça ao usuário o máximo de informações possível sobre si mesmo. Os binários de depuração devem ser usados em um ambiente de desenvolvimento ou teste e podem representar um risco de segurança se forem implantados em produção. Os invasores podem aproveitar as informações adicionais adquiridas com a saída de depuração para prepararem ataques direcionados no banco de dados da infraestrutura ou a outros recursos usados pelo aplicativo.

A classe HttpRequest fornece acesso programático a variáveis das coleções QueryString, Form, Cookies ou ServerVariables sob a forma de um acesso de array (por exemplo, Request["myParam"]). Quando há mais de uma variável com o mesmo nome, o .NET Framework retorna o valor da variável que aparece primeiro quando as coleções são pesquisadas, na ordem seguinte: QueryString, Form, Cookies e depois ServerVariables. Como QueryString vem em primeiro lugar na ordem de pesquisa, é possível que parâmetros QueryString substituam valores de formulários, cookies e variáveis de servidor. Da mesma forma, valores de formulário podem substituir variáveis nas coleções Cookies e ServerVariables, enquanto variáveis da coleção Cookies podem substituir as de ServerVariables.
Exemplo 1: Imagine que um aplicativo de operações bancários armazena temporariamente o endereço de e-mail de um usuário em um cookie e lê esse valor quando deseja entrar em contato com o usuário. O código a seguir lê o valor do cookie e envia um saldo de conta ao endereço de e-mail especificado.

...
    String toAddress = Request["email"];        //Expects cookie value
    Double balance = GetBalance(userID);
    SendAccountBalance(toAddress, balance);
...

Suponha que o código no Example 1 seja executado durante uma visita a http://www.example.com/GetBalance.aspx. Se um invasor puder fazer com que um usuário autenticado clique em um link que solicita http://www.example.com/GetBalance.aspx?email=evil%40evil.com, um e-mail com o saldo da conta desse usuário será enviado para evil@evil.com.

A classe HttpRequest fornece acesso programático a variáveis das coleções QueryString, Form, Cookies ou ServerVariables sob a forma de um acesso de array (por exemplo, Request["myParam"]). Quando há mais de uma variável com o mesmo nome, o .NET Framework retorna o valor da variável que aparece primeiro quando as coleções são pesquisadas, na ordem seguinte: QueryString, Form, Cookies e depois ServerVariables. Como QueryString vem em primeiro lugar na ordem de pesquisa, é possível que parâmetros QueryString substituam valores de formulários, cookies e variáveis de servidor. Da mesma forma, valores de formulário podem substituir variáveis nas coleções Cookies e ServerVariables, enquanto variáveis da coleção Cookies podem substituir as de ServerVariables.
Exemplo 1: O código a seguir verifica a variável de servidor do cabeçalho HTTP Referer para ver se a solicitação é proveniente de www.example.com antes de apresentar o conteúdo.

    ...
    if (Request["HTTP_REFERER"].StartsWith("http://www.example.com"))
        ServeContent();
    else
        Response.Redirect("http://www.example.com/");
    ...

Suponha que o código no Example 1 seja executado durante uma visita a http://www.example.com/ProtectedImages.aspx. Se um invasor realizar uma solicitação direta para a URL, o cabeçalho de referência adequado não será definido e a solicitação falhará. No entanto, se o invasor enviar um parâmetro HTTP_REFERER artificial com o valor necessário, como http://www.example.com/ProtectedImages.aspx?HTTP_REFERER=http%3a%2f%2fwww.example.com, a pesquisa retornará esse valor de QueryString em vez de ServerVariables, e a verificação será bem-sucedida.