owasp mobile top 2016
1.0.0
OWASP Mobile Top 10 2016 목록 :
이 카테고리는 플랫폼 기능의 오용 또는 플랫폼 보안 제어를 사용하지 않는 것을 다룹니다. 여기에는 Android 의도, 플랫폼 권한, T 모바일 앱 이이 위험을 경험할 수있는 몇 가지 방법이 있습니다.
이 새로운 범주는 2014 년 모바일 탑 10의 M2 + M4의 조합입니다. 이는 불안정한 데이터 저장 및 의도하지 않은 데이터 유출을 다룹니다.
여기에는 핸드 쉐이킹, 잘못된 SSL 버전, 약한 협상, 민감한 자산의 명확한 텍스트 커뮤니케이션 등이 다릅니다.
이 범주는 최종 사용자 또는 잘못된 세션 관리를 인증한다는 개념을 캡처합니다. 여기에는 다음이 포함될 수 있습니다.
이 코드는 암호화를 민감한 정보 자산에 적용합니다. 그러나 암호화는 어떤 식 으로든 불충분합니다. TLS 또는 SSL과 관련된 모든 것이 M3에 있습니다. 또한 앱이 암호화를 전혀 사용하지 않으면 M2에 속할 것입니다. 이 범주는 암호화가 시도 된 문제에 대한 것이지만 올바르게 수행되지 않았습니다.
이는 승인의 실패를 포착하는 범주입니다 (예 : 고객 측의 승인 결정, 강제 탐색 등). 인증 문제 (예 : 장치 등록, 사용자 식별 등)와 다릅니다.
앱이 IS가 필요한 상황에서 사용자를 전혀 인증하지 않으면 (예 : 인증 및 승인 된 액세스가 필요할 때 일부 리소스 또는 서비스에 익명 액세스 권한을 부여 함) 인증 실패가 아닌 인증 실패입니다.
이것은 우리의 덜 사용되지 않은 범주 중 하나 인 "신뢰할 수없는 입력을 통한 보안 결정"이었습니다. 이는 모바일 클라이언트의 코드 수준 구현 문제에 대한 포괄적입니다. 이는 서버 측 코딩 실수와는 다릅니다. 이로 인해 버퍼 오버플로, 형식 문자열 취약점 및 솔루션이 모바일 장치에서 실행중인 일부 코드를 다시 작성하는 것과 같은 다양한 코드 레벨 실수와 같은 것들이 캡처됩니다.
이 범주는 이진 패치, 로컬 리소스 수정, 메소드 후크, 메소드 스위 즈 링 및 동적 메모리 수정을 다룹니다.
애플리케이션이 모바일 장치로 전달되면 코드 및 데이터 리소스가 상주합니다. 공격자는 코드를 직접 수정하거나 메모리 내용을 동적으로 변경하거나 응용 프로그램이 사용하는 시스템 API를 변경하거나 교체하거나 응용 프로그램의 데이터 및 리소스를 수정할 수 있습니다. 이를 통해 공격자는 개인 또는 금전적 이득을 위해 소프트웨어의 의도 된 사용을 전복하는 직접적인 방법을 제공 할 수 있습니다.
이 범주에는 소스 코드, 라이브러리, 알고리즘 및 기타 자산을 결정하기위한 최종 코어 바이너리 분석이 포함됩니다. Ida Pro, Hopper, Otool 및 기타 이진 검사 도구와 같은 소프트웨어는 공격자가 응용 프로그램의 내부 작업에 대한 통찰력을 제공합니다. 이는 응용 프로그램에서 다른 초기 취약점을 악용하는 데 사용될 수 있으며 백엔드 서버, 암호화 상수 및 암호 및 지적 재산에 대한 정보를 공개하는 데 사용될 수 있습니다.
종종 개발자는 숨겨진 백도어 기능 또는 프로덕션 환경으로 출시되지 않은 기타 내부 개발 보안 제어를 포함합니다. 예를 들어, 개발자는 실수로 하이브리드 앱에 댓글로 암호를 포함시킬 수 있습니다. 다른 예제에는 테스트 중 2 인용 인증 비활성화가 포함됩니다.
