OWASP移動安全漏洞Top 10

2021-09-06 17:27:35 字數 1377 閱讀 4878

在owasp排第一的漏洞是「脆弱的伺服器端安全控制」,顧名思義,就是沒有以乙個安全的方式從移動應用程式向伺服器端傳送資料,或在傳送資料時暴露了一些敏感的api。

例如,考慮對乙個android應用程式登入伺服器的憑據進行身份驗證,而沒有對輸入進行驗證。攻擊者可以以這樣一種方式修改憑證來獲得伺服器敏感的或未經授權的區域。

這是移動應用以及web應用程式都存在的乙個漏洞。

在裝置上儲存任意使用者都可以訪問的與應用相關的資訊。許多android應用在shared preferences,sqlite(以明文形式)或外部儲存器中儲存著秘密的使用者相關資訊,或應用程式資訊。

開發者應始終牢記,即使把敏感資訊儲存在/data/data/package-name目錄中,但是只要手機root了,就能夠被惡意應用/攻擊者訪問。

許多android開發者使用不安全的方式進行資料傳輸,比如以http的方式,或者沒有正確實現ssl。這使得應用程式在網路上容易受到各種不同型別的攻擊發生,例如從應用向伺服器傳送資料的時候進行資料報攔截,引數操作,修改響應資料,以便獲得應用鎖定區域的訪問許可權。

當應用程式儲存資料的位置本身是脆弱的時,這個漏洞就會產生。

這些位置可能包括剪貼簿,url快取,瀏覽器的cookies,html5資料儲存,分析資料等等。

例如,乙個使用者在登入銀行應用的時候已經把密碼複製到了剪貼簿,惡意應用程式通過訪問使用者剪貼簿資料就可以獲取密碼了。

乙個android應用程式,如果它們試圖在沒有適當的安全措施的情況下通過客戶端檢測進行使用者驗證或者授權,那麼就是存在風險的。應當指出的是,手機root後大多數客戶端的保護都是可以繞過的。

因此,建議應用程式開發者使用適當的檢測方法在伺服器端進行身份驗證和授權,然後,在移動裝置上使用乙個隨機生成的令牌來驗證使用者。

使用不安全的加密函式來加密資料元件,這可能包括一些已知的脆弱演算法,如md5, sha1, rc2,甚至乙個沒有採取適當安全措施的定製開發的演算法。

sql注入:

content provider uri]--

projection "* from sqlite_master where type='table';- -"

在移動應用程式中,開發者應該清洗和檢驗使用者輸入或其它相關輸入,不可信的輸入可能會導致應用中的其它安全風險,如客戶端注入。

在進行乙個移動應用的session處理時,開發者需要關注很多的因素,比如適當過期的有效身份驗證cookie,安全令牌建立,cookie生成和旋轉,以及後台失敗的無效session。

在web應用和android應用程式之間必須保持乙個適當的安全同步。

不能夠有效的阻止應用程式被逆向或者反編譯。apktool,dex2jar等工具可以對android應用進行逆向,從而使應用暴露出各種安全風險。為了防止應用被逆向,開發者可以使用proguardand和dasho等對應用進行加固。

TOP 10 安全漏洞

top 10 安全漏洞 1 弱口令 弱的 易於猜中的和重新使用以前用過的口令都損害安全。測試賬戶擁有的口令強度弱且幾乎沒有監控。不要在系統或因特 點重新使用口令。2 沒有打過補丁的軟體 沒有打過補丁的 過時的 有漏洞的或仍處於預設配置狀態的軟體。大多數漏洞都可以通過及時的打上補丁和測試予以避免。充分...

安全技術 如何選擇安全漏洞掃瞄工具 1

對於乙個複雜的多層結構的系統和網路安全規劃來說,隱患掃瞄是一項重要的組成元素。隱患掃瞄能夠模擬黑客的行為,對系統設定進行攻擊測試,以幫助管理員在黑客攻擊之前,找出網路中存在的漏洞。這樣的工具可以遠端評估你的網路的安全級別,並生成評估報告,提供相應的整改措施。目前,市場上有很多隱患掃瞄工具,按照不同的...

安全技術 如何選擇安全漏洞掃瞄工具 1

在字典中,vulnerability意思是漏洞或者缺乏足夠的防護。在軍事術語中,這個詞的意思更為明確,也更為嚴重 有受攻擊的嫌疑。每個系統都有漏洞,不論你在系統安全性上投入多少財力,攻擊者仍然可以發現一些可利用的特徵和配置缺陷。這對於安全管理員來說,實在是個不利的訊息。但是,多數的攻擊者,通常做的是...