通过实际案例了解 OWASP 移动十大风险
我们拥有开发 100% 防黑客应用程序的行业记录,同时也承担着责任和底线保证,即以我们名义开发的任何数字解决方案都不会面临安全漏洞。 为了实现这一目标,Appinventiv 的质量保证团队熟悉应用程序可能面临的所有可能的安全风险。了解风险可以轻松忽略陷阱并编写安全的应用程序。 全面了解OWASP 安全编码实践(开放 Web 应用程序安全项目)可以帮助我们在确保安全方面处于领先地位。它是一个由安全专家组成的在线社区,他们开发了用于构建安全移动和 Web 应用程序的免费文档、学习材料和工具。 除此之外,他们还编制了移动应用程序中OWASP Mobile 十大安全威胁列表。 虽然OWASP 安全实践文档相当清晰,但企业有时很难将其与现实案例联系起来。 在本文中,我们将为您提供十大移动安全风险的基本概述,并举例说明每个风险在现实世界中已披露的漏洞。
当我们处理您的应用程序时
它将使您深入了解我们在 Appinventiv 中所做的准备。 在研究风险之前,让我们先看一下统计数据。 NowSecure调查了 Google Play 商店和 App 商店中的应用程序,发现超过 85% 的应用程序违反了其中一项风险。 在这些应用程序中,50% 的数据存储不安全,并且相同数量的应用程序存在不安全的通信风险。下图显示了OWASP Mobile 十大风险的发生百分比 owasp 移动前 10 名违规率 移动应用程序最常见的 10 种威胁列表以及避免这些威胁的最佳实践 M1:平台使用不当 OWASP 安全测试的类别包括设备功能的误用或使用平台安全控制时的失败实例。它可以包括平台权限、钥匙串的滥用等。 真实案例: 三个 iOS 应用程序:“健身 沙特阿拉伯 WhatsApp 号码列表 平衡应用程序”、“心率监视器”和“卡路里追踪应用程序”因绕过苹果的 Touch ID 而被曝光。他们要求用户使用指纹来获取健身信息,同时用它来从应用商店收费。
![\"\"](\"http://zh-cn.aeroleads.me/wp-content/uploads/2023/11/5555.jpg\")
应避免的最佳实践开发人员不得允许
通过服务器路由进行钥匙串加密,并将密钥仅保留在一台设备中,这样就不可能在其他服务器或设备上被利用。 开发人员必须通过钥匙串来保护应用程序的安全,以存储具有专用访问控制列表的应用程序的秘密。 开发人员必须获得许可来限制哪些应用程序可以与其应用程序进行通信。 开发人员必须通过定义显式意图来控制 OWASP Mobile Top 10 列表中的第一个,从而阻止所有其他组件访问意图中存在的信息。 M2:不安全的数据存储 当有人访问丢失/被盗的移动设备时,或者当恶意软件或其他重新打包的应用程序开始代表对手行事并在移动设备上执行操作时 就会将其视为威胁。 不安全的数据存储漏洞通常会导致 航空引线 以下风险: 欺诈罪 身份盗窃 物质损失。 名誉受损 外部政策违规 (PCI) 真实案例 等约会应用程序因其不安全的数据存储实践而一次又一次受到审查。
