owasp mobile top 2016
1.0.0
OWASPモバイルトップ10 2016リスト:
このカテゴリは、プラットフォーム機能の誤用またはプラットフォームセキュリティコントロールの使用の障害をカバーしています。 Androidの意図、プラットフォーム許可、TechIDの誤用、キーチェーン、またはモバイルオペレーティングシステムの一部であるその他のセキュリティ制御が含まれる場合があります。モバイルアプリがこのリスクを経験する方法はいくつかあります。
この新しいカテゴリは、2014年のモバイルトップ10のM2 + M4の組み合わせです。これは、安全でないデータストレージと意図しないデータリークをカバーしています。
これは、不十分な手の揺れ、誤ったSSLバージョン、弱い交渉、敏感な資産のクリアテキスト通信などをカバーします。
このカテゴリは、エンドユーザーまたは悪いセッション管理を認証するという概念をキャプチャします。これには以下を含めることができます:
コードは、暗号化された情報資産に暗号化を適用します。ただし、暗号化は何らかの形で不十分です。 TLSまたはSSLに関連するすべてのものはM3であることに注意してください。また、アプリが必要なときに暗号化をまったく使用できない場合、それはおそらくM2に属します。このカテゴリは、暗号化が試みられた問題に関するものですが、正しく行われていませんでした。
これは、承認の失敗を把握するためのカテゴリです(たとえば、クライアント側の認可決定、強制閲覧など)。これは、認証の問題(デバイスの登録、ユーザー識別など)とは異なります。
アプリがユーザーがユーザーをまったく認証していない場合(たとえば、認証された許可アクセスが必要な場合に何らかのリソースまたはサービスへの匿名のアクセスを許可することが必要です)、それは認証障害ではなく、認証障害です。
これは、あまり使用されていないカテゴリの1つである「信頼されていない入力によるセキュリティ決定」でした。これは、モバイルクライアントのコードレベルの実装の問題のキャッチオールになります。これは、サーバー側のコーディングミスとは異なります。これにより、バッファオーバーフロー、形式の文字列の脆弱性、およびモバイルデバイスで実行されているコードを書き換えるソリューションがある他のさまざまなコードレベルのミスなどがキャプチャされます。
このカテゴリは、バイナリパッチング、ローカルリソースの変更、メソッドフック、スウィズリング方法、および動的メモリの変更をカバーしています。
アプリケーションがモバイルデバイスに配信されると、コードリソースとデータリソースが居住します。攻撃者は、コードを直接変更したり、メモリの内容を動的に変更したり、アプリケーションが使用しているシステムAPIを変更するか、アプリケーションのデータとリソースを変更できます。これにより、攻撃者は、個人的または金銭的な利益のためにソフトウェアの意図した使用を破壊する直接的な方法を提供できます。
このカテゴリには、ソースコード、ライブラリ、アルゴリズム、およびその他の資産を決定するための最終コアバイナリの分析が含まれています。 IDA Pro、Hopper、Otool、その他のバイナリ検査ツールなどのソフトウェアは、攻撃者にアプリケーションの内側の仕組みに関する洞察を与えます。これは、アプリケーションの他の初期の脆弱性を活用し、バックエンドサーバー、暗号定数と暗号、および知的財産に関する情報を明らかにするために使用できます。
多くの場合、開発者には、生産環境にリリースされることを意図していない隠されたバックドア機能またはその他の内部開発セキュリティ制御が含まれます。たとえば、開発者は誤ってハイブリッドアプリにコメントとしてパスワードを含めることができます。別の例には、テスト中の2因子認証の無効化が含まれます。
