owasp mobile top 2016
1.0.0
Owasp Mobile Top 10 2016 Список:
Эта категория охватывает неправильное использование функции платформы или неспособность использовать управления безопасности платформы. Он может включать в себя намерения Android, разрешения на платформу, неправильное использование TouchID, ключичную матча или какой -либо другой контроль безопасности, который является частью мобильной операционной системы. Есть несколько способов, которыми мобильные приложения могут испытывать этот риск.
Эта новая категория представляет собой комбинацию M2 + M4 из Top To Top Tup 2014. Это охватывает небезопасное хранение данных и непреднамеренную утечку данных.
Это охватывает плохие ручные рукоятки, неправильные версии SSL, слабые переговоры, четкое текстовое сообщение конфиденциальных активов и т. Д.
Эта категория отражает представления об аутентификации конечного пользователя или плохого управления сеансом. Это может включать в себя:
Код применяет криптографию к конфиденциальному информационному активу. Тем не менее, криптографии в некотором роде недостаточно. Обратите внимание, что все и все, что связано с TLS или SSL, идет в M3. Кроме того, если приложение не может использовать криптографию вообще, когда оно должно, это, вероятно, принадлежит M2. Эта категория предназначена для проблем, где была предпринята криптография, но это не было сделано правильно.
Это категория для захвата любых сбоев в разрешении (например, решения о разрешении на стороне клиента, принудительное просмотр и т. Д.). Он отличается от проблем с аутентификацией (например, регистрация устройств, идентификация пользователя и т. Д.).
Если приложение вообще не аутентифицирует пользователей в ситуации, когда оно должно (например, предоставление анонимного доступа к какому -либо ресурсу или услуге, когда требуется аутентифицированный и авторизованный доступ), то это сбой аутентификации, а не сбой авторизации.
Это были «решения безопасности через ненадежные входные данные», одна из наших менее используемых категорий. Это было бы выловкой задачи по внедрению на уровне кода в мобильном клиенте. Это отличается от ошибок на кодировании на стороне сервера. Это захватило бы такие вещи, как переполнение буфера, форматирование строковых уязвимостей и различные другие ошибки на уровне кода, где решение состоит в том, чтобы переписать какой-то код, который работает на мобильном устройстве.
Эта категория охватывает бинарное исправление, локальную модификацию ресурсов, подключение метода, смазывание метода и динамическую модификацию памяти.
После того, как приложение будет доставлено на мобильное устройство, код и ресурсы данных находятся там. Злоумышленник может либо напрямую изменить код, динамически изменить содержимое памяти, изменять или заменить системы API, которые использует приложение, или изменить данные и ресурсы приложения. Это может предоставить злоумышленнику прямой метод подрыва предполагаемого использования программного обеспечения для личного или денежного усиления.
Эта категория включает в себя анализ окончательного двоичного двоина, чтобы определить его исходный код, библиотеки, алгоритмы и другие активы. Программное обеспечение, такое как IDA Pro, Hopper, OTOOL и другие инструменты бинарной проверки, дает злоумышленнику представление о внутренней работе приложения. Это может быть использовано для использования других зарождающихся уязвимостей в приложении, а также для раскрытия информации о задние серверы, криптографические константы и шифры, а также интеллектуальную собственность.
Часто разработчики включают скрытую функциональность Backdoor или другие контроли безопасности внутреннего развития, которые не предназначены для выпуска в производственную среду. Например, разработчик может случайно включить пароль в качестве комментария в гибридном приложении. Другой пример включает отключение 2-факжной аутентификации во время тестирования.
