OWASP移动安全漏洞Top 10
•脆弱的服务器端安全控制
在OWASP排第一的漏洞是“脆弱的服务器端安全控制”,顾名思义,就是没有以一个安全的方式从移动应用程序向服务器端发送数据,或在发送数据时暴露了一些敏感的API。
例如,考虑对一个Android应用程序登录服务器的凭据进行身份验证,而没有对输入进行验证。攻击者可以以这样一种方式修改凭证来获得服务器敏感的或未经授权的区域。
这是移动应用以及Web应用程序都存在的一个漏洞。
• 不安全的数据存储
在设备上存储任意用户都可以访问的与应用相关的信息。许多Android应用在shared preferences,SQLite(以明文形式)或外部存储器中存储着秘密的用户相关信息,或应用程序信息。
开发者应始终牢记,即使把敏感信息存储在/data/data/package-name目录中,但是只要手机root了,就能够被恶意应用/攻击者访问。
• 传输层保护不足
许多Android开发者使用不安全的方式进行数据传输,比如以HTTP的方式,或者没有正确实现SSL。这使得应用程序在网络上容易受到各种不同类型的攻击发生,例如从应用向服务器发送数据的时候进行数据包拦截,参数操作,修改响应数据,以便获得应用锁定区域的访问权限。
• 意外的数据泄露
当应用程序存储数据的位置本身是脆弱的时,这个漏洞就会产生。
这些位置可能包括剪贴板,URL缓存,浏览器的Cookies,HTML5数据存储,分析数据等等。
例如,一个用户在登录银行应用的时候已经把密码复制到了剪贴板,恶意应用程序通过访问用户剪贴板数据就可以获取密码了。
• 弱授权和身份认证
一个Android应用程序,如果它们试图在没有适当的安全措施的情况下通过客户端检测进行用户验证或者授权,那么就是存在风险的。应当指出的是,手机root后大多数客户端的保护都是可以绕过的。
因此,建议应用程序开发者使用适当的检测方法在服务器端进行身份验证和授权,然后,在移动设备上使用一个随机生成的令牌来验证用户。
• 密码破解
使用不安全的加密函数来加密数据组件,这可能包括一些已知的脆弱算法,如MD5, SHA1, RC2,甚至一个没有采取适当安全措施的定制开发的算法。
• 客户端注入
SQL注入:
run app.provider.query [Content Provider URI] --projection "* FROM SQLITE_MASTER WHERE type='table';- -"
• 通过不可信输入进行安全决策
在移动应用程序中,开发者应该清洗和检验用户输入或其它相关输入,不可信的输入可能会导致应用中的其它安全风险,如客户端注入。
• Session会话处理不当
在进行一个移动应用的session处理时,开发者需要关注很多的因素,比如适当过期的有效身份验证cookie,安全令牌创建,cookie生成和旋转,以及后台失败的无效session。
在Web应用和Android应用程序之间必须保持一个适当的安全同步。
• 缺乏二进制文件保护
不能够有效的阻止应用程序被逆向或者反编译。apktool,dex2jar等工具可以对Android应用进行逆向,从而使应用暴露出各种安全风险。为了防止应用被逆向,开发者可以使用proguardand和dasho等对应用进行加固。
OWASP移动安全漏洞Top 10的更多相关文章
- Web漏洞总结: OWASP Top 10
本文原创,更多内容可以参考: Java 全栈知识体系.如需转载请说明原处. 开发安全 - OWASP Top 10 在学习安全需要总体了解安全趋势和常见的Web漏洞,首推了解OWASP,因为它代表着业 ...
- OWASP Top 10 – 2013, 最新十大安全隐患(ASP.NET解决方法)
OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群.非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解 ...
- ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理
不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...
- OWASP TOP 10 2017中文译文
说明:owasp top 10其实有中文官方版本:本文是按着英文版进行翻译而成. 官方中文版:http://www.owasp.org.cn/owasp-project/OWASPTop102017v ...
- OWASP TOP 10 详解
OWASP--开放式web应用程序安全项目 参考文献:袁鸣凯.OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防.2016-9-18. https://blog.csdn.n ...
- OWASP top 10
OWASP Top 10 A1: InjectionSolution+Validate User Input+Never concatenate queries and date+Parameteri ...
- OWAP Top 10
2013 Top 10 List A1-Injection Injection flaws, such as SQL, OS, and LDAP injection occur when untr ...
- 安全检测:2013 Top 10 List
转自:https://www.owasp.org/index.php/Top_10_2013-Top_10 Risk 2013 Table of Contents 2013 Top 10 List ...
- Favorites of top 10 rules for success
Dec. 31, 2015 Stayed up to last minute of 2015, 12:00am, watching a few of videos about top 10 rules ...
随机推荐
- NUnit单元测试示例
单元测试的用法 1.下载NUnit软件 安装后打开界面如图: 2.新建测试项目 添加类库项目并在NuGet管理包中添加NUnit 这里添加NuGet的NUnit包要注意保持版本和之前下载的NUnit软 ...
- 深入解读《Gartner2017年商业智能和分析平台魔力象限报告》
文 | 帆软数据应用研究院 船长 2017年2月16日,Gartner发布了2017年BI商业智能和分析平台魔力象限报告,笔者这里进行一些解读,帮助大家更好了解市场状况和趋势. 一.几家欢笑几家愁 和 ...
- Group by 分组查询 实战
实战经历,由于本人在共享单车上班,我们的单车管理模块,可以根据单车号查询单车,但是单车号没有设置unique(独一无二约束),说以这就增加了单车号可能重复的风险,但是一般情况下,单车号是不会重复的,因 ...
- 几个python函数
迭代器 fun函数 过滤作用 s=['a', 'b', 'c'] def fun1(s): if s!='a': return s ret filter(fun1, str) print(ret) ...
- HDFS Lease Recovey 和 Block Recovery
这篇分析一下Lease Recovery 和 Block Recovery hdfs支持hflush后,需要保证hflush的数据被读到,datanode重启不能简单的丢弃文件的最后一个block,而 ...
- css+div页面布局
div标签是html页面中用于分组的块元素,是专门用于元素布局的标签. 标签的级别: 1.行级标签:可设置大小,但一行只能容下一个行级标签(默认宽度==页面宽度,默认高度==填充高度) 2.块级标签: ...
- eclipse中整合ejb和web工程
用 Eclipse JEE 版本的话,新建一个 Enterprise Application Project 工程(New --> Java EE --> Enterprise Appli ...
- 【转】Java学习---HashMap和HashSet的内部工作机制
[原文]https://www.toutiao.com/i6593863882484220430/ HashMap和HashSet的内部工作机制 HashMap 和 HashSet 内部是如何工作的? ...
- beta冲刺————第二天(2/5)
完善具体内容: 前端: (1)添加了更多设置 (2)点击后出现底栏,分别可以进行字体背景设置.收藏.分享等操作,同时可以看出对文章的排版进行了完善 后端: 对阿里云服务器中的环境进行配置,同时熟悉阿里 ...
- HDU5629:Clarke and tree(DP,Prufer)
Description Input Output Sample Input Sample Output Solution 题意:给你$n$个点,还有每个点的度数,问你任选$i(1\leq i \leq ...