没有合适的资源?快使用搜索试试~ 我知道了~
OWASP Mobile Top 10 -2016
需积分: 11 65 下载量 142 浏览量
2016-10-04
06:33:27
上传
评论
收藏 804KB PDF 举报
温馨提示
试读
22页
本文档系统地分类了 android应用app的一系列风险漏洞问题,并且很有指导性。此外该文档对app应用的风险漏洞的归类和分析都很到位。
资源详情
资源评论
资源推荐
OWASP MOBILE TOP 10
(BETA)
2 / 22
鸣谢
感谢 SecZone 自 2014 年 Mobile TOP 10 项目成立以来,对该项目持续的跟
进、翻译、研究、分享。
同时,我们也对该项目的主要翻译人员王颉表示感谢。
Mobile TOP 10 项目支持单位:
3 / 22
目录
鸣谢 ........................................................................................................................... 2
OWASP Mobile Top 10 简介 ........................................................................................ 5
M1:平台使用不当 ..................................................................................................... 7
1.1. 概述 ............................................................................................................. 7
1.2. 明显特征 ...................................................................................................... 7
1.3. 风险 ............................................................................................................. 8
1.4. 举例 ............................................................................................................. 8
M2:不安全的数据存储 .............................................................................................. 9
2.1. 概述 ............................................................................................................. 9
2.2. 明显特征 .................................................................................................... 10
2.3. 风险 ........................................................................................................... 10
2.4. 举例 (空) .................................................................................................... 10
M3:不安全的通信 ................................................................................................... 11
3.1. 概述 ........................................................................................................... 11
3.2. 明显特征 .................................................................................................... 11
3.3. 风险 ........................................................................................................... 11
3.4. 举例 ........................................................................................................... 12
M4:不安全的身份验证 ............................................................................................ 13
4.1. 概述 ........................................................................................................... 13
4.2. 明显特征 .................................................................................................... 13
4.3. 风险 ........................................................................................................... 14
4.4. 举例 ........................................................................................................... 14
M5:加密不足........................................................................................................... 16
5.1. 概述 ........................................................................................................... 16
5.2. 明显特征 .................................................................................................... 16
5.3. 风险 ........................................................................................................... 16
5.4. 举例 ........................................................................................................... 17
M6:不安全的授权 ................................................................................................... 18
4 / 22
6.1. 概述 ........................................................................................................... 18
6.2. 明显特征 .................................................................................................... 18
6.3. 风险 ........................................................................................................... 18
6.4. 举例 ........................................................................................................... 18
M7:客户端代码质量问题 ......................................................................................... 19
7.1. 概述 ........................................................................................................... 19
7.2. 明显特征 .................................................................................................... 19
7.3. 风险 ........................................................................................................... 19
7.4. 举例 ........................................................................................................... 19
M8:代码篡改........................................................................................................... 20
8.1. 概述 ........................................................................................................... 20
8.2. 明显特征 .................................................................................................... 20
8.3. 风险 ........................................................................................................... 20
8.4. 举例 ........................................................................................................... 20
M9:逆向工程........................................................................................................... 21
9.1. 概述 ........................................................................................................... 21
9.2. 明显特征 .................................................................................................... 21
9.3. 风险 ........................................................................................................... 21
9.4. 举例 ........................................................................................................... 21
M10:无关的功能 ..................................................................................................... 22
10.1. 概述 ........................................................................................................ 22
10.2. 明显特征 ................................................................................................. 22
10.3. 风险 ........................................................................................................ 22
10.4. 举例 ........................................................................................................ 22
5 / 22
OWASP Mobile Top 10 简介
M1-平台使用不当
这个类别包括平台功能的滥用,或未能使用平台的安全控制。它可能包括
Android 的意图(intent )、 平台权限、 TouchID 的误用、 密钥链
(KeyChain)、或是移动操作系统中的其他一些安全控制。有几种方式使移动应
用程序能受到这类风险。
M2-不安全的数据存储
这个新的类别是《2014 年版十大移动安全威胁》中 M2 和 M4 的组合。这个类别
包括不安全的数据存储和非故意的数据泄漏。
M3-不安全的通信
这个类别包括不健全的握手通信过程、SSL 版本的不正确使用、脆弱协议、敏
感信息的明文传输,等等。
M4-不安全的身份验证
这个类别包括对终端用户身份验证或坏的会话管理的意见。这可以包括:
当被要求时,没有对所有用户进行身份识别。
当被要求时,没有保持对用户身份的确认。
会话管理中的漏洞。
M5-加密不足
代码使用加密技术对敏感信息资产进行加密。然而,加密技术的应用在某种程
度上是不足的。需要注意的是,任何与 TLS 或 SSL 有关的内容调整至 M3 中。此
外,如果应用程序在它应当使用加密技术时而没有成功使用,该类问题可能属
于 M2。本类别是在尝试使用加密技术时,却又没有成功使用的问题。
M6-不安全的授权
剩余21页未读,继续阅读
煜铭2011
- 粉丝: 1081
- 资源: 85
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0