หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

ยินดีต้อนรับสู่ Owasp Mobile Top 10 2016

OWASP Mobile Top 10 2016 รายการ:

หมวดหมู่นี้ครอบคลุมการใช้คุณสมบัติแพลตฟอร์มหรือความล้มเหลวในการใช้การควบคุมความปลอดภัยของแพลตฟอร์ม อาจรวมถึงจุดประสงค์ของ Android, การอนุญาตแพลตฟอร์ม, การใช้งานในทางที่ผิด, พวงกุญแจหรือการควบคุมความปลอดภัยอื่น ๆ ที่เป็นส่วนหนึ่งของระบบปฏิบัติการมือถือ มีหลายวิธีที่แอพมือถือจะได้สัมผัสกับความเสี่ยงนี้

หมวดหมู่ใหม่นี้เป็นการรวมกันของ M2 + M4 จาก Mobile Top Ten 2014 สิ่งนี้ครอบคลุมการจัดเก็บข้อมูลที่ไม่ปลอดภัยและการรั่วไหลของข้อมูลที่ไม่ได้ตั้งใจ

สิ่งนี้ครอบคลุมการจับมือไม่ดีรุ่น SSL ที่ไม่ถูกต้องการเจรจาต่อรองที่อ่อนแอการสื่อสาร ClearText ของสินทรัพย์ที่ละเอียดอ่อน ฯลฯ

หมวดหมู่นี้รวบรวมแนวคิดของการตรวจสอบสิทธิ์ผู้ใช้ปลายทางหรือการจัดการเซสชันที่ไม่ดี ซึ่งอาจรวมถึง:

  • ไม่สามารถระบุผู้ใช้ได้เมื่อใดก็ตาม
  • ไม่สามารถรักษาตัวตนของผู้ใช้เมื่อจำเป็น
  • จุดอ่อนในการจัดการเซสชัน

รหัสนี้ใช้การเข้ารหัสกับสินทรัพย์ข้อมูลที่ละเอียดอ่อน อย่างไรก็ตามการเข้ารหัสนั้นไม่เพียงพอในบางวิธี โปรดทราบว่าทุกสิ่งที่เกี่ยวข้องกับ TLS หรือ SSL ไปใน M3 นอกจากนี้หากแอปไม่สามารถใช้การเข้ารหัสได้เลยเมื่อควรจะเป็นของ M2 หมวดหมู่นี้มีไว้สำหรับปัญหาที่พยายามเข้ารหัส แต่ก็ไม่ถูกต้อง

นี่คือหมวดหมู่ในการจับภาพความล้มเหลวใด ๆ ในการอนุญาต (เช่นการตัดสินใจอนุญาตในฝั่งลูกค้าการเรียกดูการเรียกดู ฯลฯ ) มันแตกต่างจากปัญหาการตรวจสอบ (เช่นการลงทะเบียนอุปกรณ์การระบุผู้ใช้ ฯลฯ )

หากแอพไม่ได้รับรองความถูกต้องของผู้ใช้ในสถานการณ์ที่ควร (เช่นการอนุญาตให้เข้าถึงทรัพยากรหรือบริการที่ไม่ระบุตัวตนเมื่อไม่ระบุชื่อเมื่อต้องผ่านการรับรองความถูกต้องและการเข้าถึงที่ได้รับอนุญาต) นั่นคือความล้มเหลวของการรับรองความถูกต้องไม่ใช่ความล้มเหลวของการอนุญาต

นี่คือ "การตัดสินใจด้านความปลอดภัยผ่านอินพุตที่ไม่น่าเชื่อถือ" ซึ่งเป็นหนึ่งในหมวดหมู่ที่ใช้น้อยกว่าของเรา นี่จะเป็นปัญหาการใช้งานระดับรหัสในไคลเอนต์มือถือ นั่นแตกต่างจากข้อผิดพลาดในการเข้ารหัสฝั่งเซิร์ฟเวอร์ สิ่งนี้จะจับสิ่งต่าง ๆ เช่นบัฟเฟอร์ล้น, รูปแบบช่องโหว่ของสตริงและข้อผิดพลาดระดับรหัสอื่น ๆ อีกมากมายที่โซลูชันคือการเขียนโค้ดบางส่วนที่ทำงานบนอุปกรณ์มือถือ

หมวดหมู่นี้ครอบคลุมการแก้ไขไบนารีการปรับเปลี่ยนทรัพยากรในท้องถิ่นการเชื่อมต่อวิธีการหมุนเวียนและการปรับเปลี่ยนหน่วยความจำแบบไดนามิก

เมื่อแอปพลิเคชันถูกส่งไปยังอุปกรณ์มือถือรหัสและทรัพยากรข้อมูลจะอยู่ที่นั่น ผู้โจมตีสามารถแก้ไขรหัสโดยตรงเปลี่ยนเนื้อหาของหน่วยความจำแบบไดนามิกเปลี่ยนหรือแทนที่ระบบ APIs ที่แอปพลิเคชันใช้หรือแก้ไขข้อมูลและทรัพยากรของแอปพลิเคชัน สิ่งนี้สามารถให้วิธีการโดยตรงของผู้โจมตีในการทำลายการใช้งานซอฟต์แวร์ที่ตั้งใจไว้เพื่อรับส่วนบุคคลหรือการเงิน

หมวดหมู่นี้รวมถึงการวิเคราะห์ Binary Core สุดท้ายเพื่อกำหนดซอร์สโค้ด, ไลบรารี, อัลกอริทึมและสินทรัพย์อื่น ๆ ซอฟต์แวร์เช่น IDA Pro, Hopper, Otool และเครื่องมือตรวจสอบไบนารีอื่น ๆ ให้ข้อมูลเชิงลึกของผู้โจมตีในการทำงานภายในของแอปพลิเคชัน สิ่งนี้อาจถูกใช้เพื่อใช้ประโยชน์จากช่องโหว่ที่เพิ่งเกิดขึ้นอื่น ๆ ในแอปพลิเคชันรวมถึงการเปิดเผยข้อมูลเกี่ยวกับเซิร์ฟเวอร์ Back End ค่าคงที่การเข้ารหัสและ ciphers และทรัพย์สินทางปัญญา

บ่อยครั้งที่นักพัฒนารวมถึงฟังก์ชั่นแบ็คดอร์ที่ซ่อนอยู่หรือการควบคุมความปลอดภัยการพัฒนาภายในอื่น ๆ ที่ไม่ได้ตั้งใจจะปล่อยออกสู่สภาพแวดล้อมการผลิต ตัวอย่างเช่นนักพัฒนาอาจรวมรหัสผ่านเป็นความคิดเห็นในแอพไฮบริดโดยไม่ตั้งใจ อีกตัวอย่างหนึ่งรวมถึงการปิดใช้งานการตรวจสอบ 2 ปัจจัยระหว่างการทดสอบ

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด