owasp mobile top 2016
1.0.0
Daftar Top 10 Owasp Mobile 2016:
Kategori ini mencakup penyalahgunaan fitur platform atau kegagalan menggunakan kontrol keamanan platform. Ini mungkin termasuk maksud Android, izin platform, penyalahgunaan TouchID, gantungan kunci, atau kontrol keamanan lain yang merupakan bagian dari sistem operasi seluler. Ada beberapa cara agar aplikasi seluler dapat mengalami risiko ini.
Kategori baru ini adalah kombinasi dari M2 + M4 dari Sepuluh Top Seluler 2014. Ini mencakup penyimpanan data yang tidak aman dan kebocoran data yang tidak diinginkan.
Ini mencakup jabat tangan yang buruk, versi SSL yang salah, negosiasi yang lemah, komunikasi cleartext aset sensitif, dll.
Kategori ini menangkap gagasan mengautentikasi pengguna akhir atau manajemen sesi yang buruk. Ini bisa termasuk:
Kode ini menerapkan kriptografi ke aset informasi yang sensitif. Namun, kriptografi tidak mencukupi dalam beberapa cara. Perhatikan bahwa apa pun dan segala sesuatu yang terkait dengan TLS atau SSL masuk dalam M3. Juga, jika aplikasi gagal menggunakan kriptografi sama sekali ketika seharusnya, itu mungkin termasuk dalam M2. Kategori ini untuk masalah di mana kriptografi dicoba, tetapi tidak dilakukan dengan benar.
Ini adalah kategori untuk menangkap kegagalan dalam otorisasi (misalnya, keputusan otorisasi di sisi klien, penelusuran paksa, dll.). Ini berbeda dari masalah otentikasi (misalnya, pendaftaran perangkat, identifikasi pengguna, dll.).
Jika aplikasi tidak mengotentikasi pengguna sama sekali dalam situasi di mana seharusnya (misalnya, memberikan akses anonim ke beberapa sumber daya atau layanan ketika akses yang diautentikasi dan resmi diperlukan), maka itu adalah kegagalan otentikasi bukan kegagalan otorisasi.
Ini adalah "keputusan keamanan melalui input yang tidak dipercaya", salah satu kategori kami yang kurang digunakan. Ini akan menjadi tangkap semua untuk masalah implementasi tingkat kode di klien seluler. Itu berbeda dari kesalahan pengkodean sisi server. Ini akan menangkap hal-hal seperti buffer overflows, format kerentanan string, dan berbagai kesalahan tingkat kode lainnya di mana solusinya adalah menulis ulang beberapa kode yang berjalan pada perangkat seluler.
Kategori ini mencakup penambalan biner, modifikasi sumber daya lokal, pengait metode, metode swizzling, dan modifikasi memori dinamis.
Setelah aplikasi dikirimkan ke perangkat seluler, sumber daya kode dan data tinggal di sana. Penyerang dapat secara langsung memodifikasi kode, mengubah konten memori secara dinamis, mengubah atau mengganti API sistem yang digunakan aplikasi, atau memodifikasi data dan sumber daya aplikasi. Ini dapat memberikan penyerang metode langsung untuk merongrong penggunaan perangkat lunak yang dimaksudkan untuk keuntungan pribadi atau moneter.
Kategori ini mencakup analisis biner inti akhir untuk menentukan kode sumbernya, perpustakaan, algoritma, dan aset lainnya. Perangkat lunak seperti IDA Pro, Hopper, Otool, dan alat inspeksi biner lainnya memberikan wawasan penyerang tentang cara kerja aplikasi. Ini dapat digunakan untuk mengeksploitasi kerentanan lainnya yang baru lahir dalam aplikasi, serta mengungkapkan informasi tentang server back end, konstanta kriptografi dan cipher, dan kekayaan intelektual.
Seringkali, pengembang termasuk fungsionalitas backdoor tersembunyi atau kontrol keamanan pengembangan internal lainnya yang tidak dimaksudkan untuk dilepaskan ke lingkungan produksi. Misalnya, pengembang dapat secara tidak sengaja memasukkan kata sandi sebagai komentar di aplikasi hybrid. Contoh lain termasuk menonaktifkan otentikasi 2-faktor selama pengujian.
