原网址:https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10
M1不正确的平台使用:此类别包括滥用平台功能或未使用平台安全控件。它可能包括Android意图,平台权限,滥用TouchID,钥匙串或其他一些安全控制,它们是移动操作系统的一部分。移动应用有多种方式可以体验这种风险。
M2不安全的数据存储:这一新类别是2014年Mobile Top Ten的M2 + M4的组合。这包括不安全的数据存储和意外的数据泄漏。
M3不安全通信:这包括糟糕的握手,不正确的SSL版本,弱协商,敏感资产的明文通信等。
M4不安全的身份验证:
此类别捕获验证最终用户或错误会话管理的概念。这可以包括:
- 在需要时根本无法识别用户
- 在需要时无法维护用户的身份
- 会话管理的弱点
M5加密不足:该代码将加密应用于敏感信息资产。但是,密码学在某种程度上是不够的。请注意,任何与TLS或SSL相关的内容都在M3中。此外,如果应用程序根本不应该使用加密,那可能属于M2。此类别适用于尝试加密的问题,但未正确完成。
M6不安全授权:
这是一个捕获授权失败的类别(例如,客户端的授权决策,强制浏览等)。它与认证问题(例如,设备注册,用户识别等)不同。
如果应用程序根本不对用户进行身份验证(例如,在需要进行身份验证和授权访问时授予对某些资源或服务的匿名访问权限),那么这就是身份验证失败而非授权失败。
M7客户端代码质量:这是“通过不受信任的输入的安全决策”,这是我们较少使用的类别之一。这将是移动客户端中代码级实现问题的全部。这与服务器端编码错误不同。这将捕获诸如缓冲区溢出,格式化字符串漏洞以及各种其他代码级错误之类的问题,其中解决方案是重写在移动设备上运行的某些代码。
M7代码篡改:
此类别包括二进制修补,本地资源修改,方法挂钩,方法调配和动态内存修改。
一旦将应用程序传送到移动设备,代码和数据资源就驻留在那里。攻击者可以直接修改代码,动态更改内存内容,更改或替换应用程序使用的系统API,也可以修改应用程序的数据和资源。这可以为攻击者提供一种直接的方法来破坏软件的预期用途,以获得个人利益或金钱利益。
M9逆向工程:此类别包括对最终核心二进制文件的分析,以确定其源代码,库,算法和其他资产。诸如IDA Pro,Hopper,otool和其他二进制检查工具之类的软件使攻击者能够深入了解应用程序的内部工作原理。这可用于利用应用程序中的其他新生漏洞,以及揭示有关后端服务器,加密常量和密码以及知识产权的信息。
M10无关功能:通常,开发人员包括隐藏的后门功能或其他不打算发布到生产环境中的内部开发安全控件。例如,开发人员可能会在混合应用程序中意外地将密码作为注释包含在内。另一个例子包括在测试期间禁用双因素身份验证。