owasp mobile top 2016
1.0.0
OWASP Mobile Top 10 2016 Liste:
Diese Kategorie deckt den Missbrauch einer Plattformfunktion oder die Nutzung der Plattformsicherheitssteuerung ab. Es kann Android -Absichten, Plattformberechtigungen, Missbrauch von TouchID, Schlüsselbund oder eine andere Sicherheitsregelung umfassen, die Teil des mobilen Betriebssystems ist. Es gibt verschiedene Möglichkeiten, wie mobile Apps dieses Risiko erleben können.
Diese neue Kategorie ist eine Kombination aus M2 + M4 aus Mobile Top Ten 2014. Dies umfasst unsichere Datenspeicherung und unbeabsichtigte Datenleckage.
Dies deckt schlechte Handshaking, falsche SSL -Versionen, schwache Verhandlungen, ClearText -Kommunikation sensibler Vermögenswerte usw. ab.
Diese Kategorie erfasst Vorstellungen zur Authentifizierung des Endbenutzers oder der schlechten Sitzungsverwaltung. Dies kann folgen:
Der Code wendet die Kryptographie auf einen sensiblen Informations -Asset an. Die Kryptographie ist jedoch in irgendeiner Weise unzureichend. Beachten Sie, dass alles und jedes mit TLS oder SSL in M3 geht. Wenn die App die Kryptographie überhaupt nicht verwendet, wenn sie sollte, gehört dies wahrscheinlich in M2. Diese Kategorie gilt für Probleme, bei denen die Kryptographie versucht wurde, aber sie wurde nicht richtig gemacht.
Dies ist eine Kategorie, um etwaige Misserfolge in der Autorisierung zu erfassen (z. B. Autorisierungsentscheidungen auf der Kundenseite, das Forced Browsing usw.). Es unterscheidet sich von Authentifizierungsproblemen (z. B. Einschreibung von Geräten, Benutzeridentifikation usw.).
Wenn die App die Benutzer überhaupt nicht in einer Situation authentifiziert, in der sie sollte (z. B. einen anonymen Zugriff auf eine Ressource oder einen Dienst, wenn authentifizierter und autorisierter Zugriff erforderlich ist), ist dies ein Authentifizierungsfehler, kein Autorisierungsfehler.
Dies waren die "Sicherheitsentscheidungen über nicht vertrauenswürdige Eingaben", eine unserer weniger verwendeten Kategorien. Dies wäre das Cat-All für Implementierungsprobleme auf Code-Ebene im mobilen Client. Das unterscheidet sich von serverseitigen Codierungsfehlern. Dies würde Dinge wie Pufferüberläufe, Format-String-Schwachstellen und verschiedene andere Fehler auf Codeebene erfassen, bei denen die Lösung darin besteht, einen Code umzuschreiben, der auf dem mobilen Gerät ausgeführt wird.
Diese Kategorie deckt binäre Patching, lokale Ressourcenmodifikation, Methoden -Haken, Methodenreden und dynamische Speichermodifikation ab.
Sobald die Anwendung an das mobile Gerät geliefert wurde, sind dort die Code- und Datenressourcen ansässig. Ein Angreifer kann den Code entweder direkt ändern, den Speicherinhalt dynamisch ändern, die System -APIs, die die Anwendung verwendet, oder die Daten und Ressourcen der Anwendung ändern. Dies kann dem Angreifer eine direkte Methode zur Untergründung der beabsichtigten Verwendung der Software für den persönlichen oder Geldgewinn liefern.
Diese Kategorie umfasst die Analyse des endgültigen Kernbinärs, um seinen Quellcode, Bibliotheken, Algorithmen und andere Vermögenswerte zu bestimmen. Software wie IDA Pro, Hopper, Otool und andere binäre Inspektionstools geben dem Angreifer Einblick in die inneren Funktionsweise der Anwendung. Dies kann verwendet werden, um andere aufstrebende Schwachstellen in der Anwendung zu nutzen und Informationen über Back -End -Server, kryptografische Konstanten und Chiffriken und geistiges Eigentum zu enthüllen.
Zu den Entwicklern gehören häufig versteckte Backdoor -Funktionen oder andere Sicherheitskontrollen für interne Entwicklung, die nicht in eine Produktionsumgebung freigesetzt werden sollen. Beispielsweise kann ein Entwickler versehentlich ein Passwort als Kommentar in einer Hybrid -App einfügen. Ein weiteres Beispiel umfasst die Deaktivierung der 2-Faktor-Authentifizierung während des Tests.
