owasp mobile top 2016
1.0.0
OWASP Mobile Top 10 2016年列表:
此類別涵蓋了濫用平台功能或未能使用平台安全控件。它可能包括Android意圖,平台權限,TouchID的濫用,鑰匙扣或其他是移動操作系統一部分的安全控制。移動應用程序可以通過多種方式體驗這種風險。
這個新類別是2014年移動前十名的M2 + M4的組合。這涵蓋了不安全的數據存儲和意外數據洩漏。
這涵蓋了不良的握手,不正確的SSL版本,弱談判,敏感資產的清晰文本交流等。
此類別捕獲了對最終用戶或不良會話管理認證的概念。這可以包括:
該代碼將密碼學應用於敏感信息資產。但是,密碼學在某種程度上不足。請注意,與TLS或SSL有關的任何事物都在M3中。另外,如果該應用程序在應有的情況下根本無法使用密碼學,則可能屬於M2。此類別是針對試圖嘗試加密的問題,但尚未正確完成。
這是捕獲授權失敗的類別(例如,客戶端的授權決策,強制瀏覽等)。它不同於身份驗證問題(例如,設備註冊,用戶標識等)。
如果該應用在應有的情況下完全驗證用戶(例如,在需要經過身份驗證和授權訪問時授予對某些資源或服務的匿名訪問),那麼這是身份驗證故障而不是授權失敗。
這是我們較少使用的類別之一的“通過不受信任的輸入的安全決策”。這將是移動客戶端中代碼級實現問題的全部內容。這與服務器端編碼錯誤不同。這將捕獲諸如緩衝區溢出,格式字符串漏洞以及其他各種代碼級錯誤之類的東西,其中解決方案是重寫在移動設備上運行的一些代碼。
此類別涵蓋二進制補丁,本地資源修改,方法鉤,方法散佈和動態內存修改。
將應用程序交付到移動設備後,代碼和數據資源就在那裡。攻擊者可以直接修改代碼,動態更改內存的內容,更改或替換應用程序使用的系統API,或修改應用程序的數據和資源。這可以為攻擊者提供一種直接的方法,以顛覆該軟件的預期用途,以供個人或貨幣收益。
此類別包括對最終核心二進製文件的分析,以確定其源代碼,庫,算法和其他資產。諸如IDA Pro,Hopper,Otool和其他二進制檢查工具之類的軟件使攻擊者洞悉應用程序的內部工作。這可以用來利用應用程序中的其他新生漏洞,並揭示有關後端服務器,加密常數和密碼以及知識產權的信息。
通常,開發人員包含隱藏的後門功能或其他內部開發安全控制,而這些安全控制不打算將其發佈到生產環境中。例如,開發人員可能會意外將密碼作為混合應用程序中的評論包含。另一個示例包括在測試過程中禁用2因子身份驗證。
