关于OWASP Moble Top10 Risks

1

OWASP机构发布了手机端的10大安全风险,分别如下:

脆弱的服务器端安全控制

这里指的是移动移动应用程序没有以一个安全的方式向服务器发送数据,或在发送数据时暴露了一些敏感的API。

不安全的数据存储

在设备上存储任意用户都可以访问的与应用相关的信息。但是一旦手机被root,就能够被恶意利用和访问

传输层保护不足

许多安卓开发者使用不安全的方式进行数据传输,比如以HTTP的方式,或者没有正确实现SSL。这使得应用程序在网络上容易受到各种不同类型的攻击,例如从应用向服务器发送数据的时候进行数据包拦截,参数操作,修改响应数据等,以便获得应用锁定区域的访问权限。

意外的数据泄露

当应用程序存储的位置本身就脆弱时,这个漏洞就会产生。
这些位置可能包括剪贴板,URL缓存,浏览器的Cookies,HTML5数据存储,分析数据等。例如,一个用户在登陆银行应用的时候已经把密码复制粘贴到了剪贴板,恶意应用程序通过访问剪贴板数据就可以获取密码了。

弱授权和身份认证

一个安卓应用程序,如果它们试图在没有适当的安全措施的情况下通过客户端检测进行用户验证或者授权,那么就是存在风险的。应当指出的是,当手机root后,大多数客户端的保护都是可以绕过的。因此,建议应用程序开发者使用适当的检测方法在服务器端进行身份验证和授权,然后,在移动设备上使用一个随机生成的令牌来验证用户。

密码破解

使用不安全的加密函数来加密数据组建,这可能包括一些已知的脆弱算法,如MD5、SHA1等

客户端注入

在手机端,任何程序或人都可以向手机应用发送不可信的数据,这些数据就是注入。

通过不可信输入进行安全决策

在移动应用程序中,开发者应该清洗和检验用户输入或其它相关输入,不可信的输入可能会导致应用中的其他安全风险,如客户端注入。

Session会话处理不当

在进行一个移动应用的session处理时,开发者需要关注很多的因素,比如适当过期的有效身份验证cookie,安全令牌创建,cookie生成和旋转,以及后台失败的无效session。在Web应用和安卓应用程序之间必须保持一个适当的安全同步。

缺乏二进制文件保护

不能够有效的阻止应用程序被逆向或者反编译。Apktool、dex2jar等工具可以对安卓应用进行逆向,从而使应用暴露出各种安全风险。为了防止应用被逆向,开发者可以对应用进行加固。


【版权声明】
本文首发于戚名钰的博客,欢迎转载,但是必须保留本文的署名戚名钰(包含链接)。如您有任何商业合作或者授权方面的协商,请给我留言:qimingyu.security@foxmail.com
欢迎关注我的微信公众号:科技锐新

kejiruixin

本文永久链接:http://qimingyu.github.io/2016/04/14/关于OWASP_Moble_Top10_Risks/

坚持原创技术分享,您的支持将鼓励我继续创作!

热评文章