OWASP TOP10 移动安全漏洞(安卓)2017

最新推荐文章于 2024-10-03 10:45:00 发布
最新推荐文章于 2024-10-03 10:45:00 发布
阅读量4.1k 收藏 2
点赞数
分类专栏: 渗透流程归纳 文章标签: 网络 服务器 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luqi5/article/details/121540334
版权
本文详细介绍了OWASP发布的2017年十大安卓移动应用安全漏洞,包括脆弱的服务器端安全控制、不安全的数据存储、传输层保护不足等问题,并提供了每个漏洞的实例和潜在风险。此外,还提到了防止这些风险的方法,如使用安全的加密、加强身份验证和会话管理,以及对二进制文件的保护。
摘要由CSDN通过智能技术生成

文章目录

前言

OWASP TOP10 移动安全漏洞(安卓) 2017

OWASP TOP10 移动安全漏洞(安卓)2017

一、脆弱的服务器端安全控制

在 OWASP 排第一的漏洞是“脆弱的服务器端安全控制”,顾名思义,就是没有 以一个安全的方式从移动应用程序向服务器端发送数据,或在发送数据时暴露了 一些敏感的 API。例如,考虑对一个 Android 应用程序登录服务器的凭据进行身份验证,而没有对 输入进行验证。攻击者可以以这样一种方式修改凭证来获得服务器敏感的或未经 授权的区域。这是移动应用以及 Web 应用程序都存在的一个漏洞。

二、不安全的数据存储

在设备上存储任意用户都可以访问的与应用相关的信息。许多 Android 应用在 shared preferences,SQLite(以明文形式)或外部存储器中存储着秘密的用户相 关信息,或应用程序信息。开发者应始终牢记,即使把敏感信息存储在/data/data/package-name 目录中, 但是只要手机 root 了,就能够被恶意应用/攻击者访问。

三、传输层保护不足

许多 Android 开发者使用不安全的方式进行数据传输,比如以 HTTP 的方式,或者没有正确实现 SSL。这使得应用程序在网络上容易受到各种不同类型的攻击发 生,例如从应用向服务器发送数据的时候进行数据包拦截,参数操作,修改响应 数据,以便获得应用锁定区域的访问权限。

四、意外的数据泄露

当应用程序存储数据的位置本身是脆弱的时,这个漏洞就会产生。这些位置可能包括剪贴板,URL 缓存,浏览器的 Cookies,HTML5 数据存储, 分析数据等等。例如,一个用户在登录银行应用的时候已经把密码复制到了剪贴板,恶意应用程 序通过访问用户剪贴板数据就可以获取密码了。

五、弱授权和身份认证

一个 Android 应用程序,如果它们试图在没有适当的安全措施的情况下通过客户 端检测进行用户验证或者授权,那么就是存在风险的。应当指出的是,手机 root 后大多数客户端的保护都是可以绕过的。因此,建议应用程序开发者使用适当的检测方法在服务器端进行身份验证和授权, 然后,在移动设备上使用一个随机生成的令牌来验证用户。

六、密码破解

使用不安全的加密函数来加密数据组件,这可能包括一些已知的脆弱算法,如 MD5, SHA1, RC2,甚至一个没有采取适当安全措施的定制开发的算法。

七、客户端注入

apk shell中
SQL 注入:
run app.provider.query [Content Provider URI] --projection “* FROM SQLITE_MASTER WHERE type=‘table’;- -”

八、通过不可信输入进行安全决策

在移动应用程序中,开发者应该清洗和检验用户输入或其它相关输入,不可信的 输入可能会导致应用中的其它安全风险,如客户端注入。

九、Session 会话处理不当

在进行一个移动应用的 session 处理时,开发者需要关注很多的因素,比如适当 过期的有效身份验证 cookie,安全令牌创建,cookie 生成和旋转,以及后台失 败的无效 session。在 Web 应用和 Android 应用程序之间必须保持一个适当的安全同步。

十、缺乏二进制文件保护

不能够有效的阻止应用程序被逆向或者反编译。apktool,dex2jar等工具可以对Android应用进行逆向,从而使应用暴露出各种安全风险。为了防止应用被逆向,开发者可以使用 proguardand和dasho等对应用进行加固。

Txiang095
关注
专栏目录
OWASP TOP 10 漏洞 2017
qq_44430237的博客
04-03 547
为了解决这个问题,应该确保在日志记录和监控过程,敏感信息不会被记录或存储,或者在记录和存储时得到适当的保护。失效的身份认证 Broken Authentication 是指应用程序的身份认证机制被攻击者利用或者绕过,导致攻击者可以通过各种手段获取未经授权的访问应用程序的权限,从而可以窃取敏感信息、进行恶意操作等。定期安全审计和漏洞扫描:对于 Web 应用程序,定期的安全审计和漏洞扫描是必不可少的,可以及时发现和修复潜在的 XSS 漏洞,提高 Web 应用程序的安全性
最新【网络安全】一款内网横向利用工具
2401_84297560的博客
05-04 821
优化某些代码mssql模块1:xcmdhshell 一键利用2:OLE一键利用oracle利用模块:shellrun函数执行系统命令关于oracle模块报错暂时移除oracle 使用可以从cmd/oracle.go import包去除//再按照上文参考配置Postgersql模块1:一键写入webshell2:命令执行Smb模块解决linux打包问题攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
OWASP TOP 10 及防御
qq_21193587的博客
05-31 5523
什么是 OWASP TOP 10 OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。 其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。 最重要的版本 应用程序最严重的十大风险 A1 注入漏洞 在 2013、2017 的版本都是第一名,可见此漏洞的引入是多么的
Web安全 - 阶段性总结回顾_风险评估
最新发布
小工匠
10-03 1330
WAF 的主要作用,就是对用户的输入进行检测,拦截可疑地输入。检测原理就是,普通用户在应用的输入可预测,基本不会去输入类似单引号这样可能对应用功能产生影响的输入.因此,我们只要对各类攻击类型的输入进行分析,提取出来其特征,就可以准确地识别出黑客的攻击行为并进行拦截了。但是,通过最小权限原则,我们能够在最大程度上,减少黑客在窃取到用户身份后产生的危害,也就保护了数据的安全性。因此,我们可以对内网和服务器的各类行为进行收集,对异常的行为进行“挖掘”,从而对已发生的入侵进行检测和告警。
OWASP TOP 10
杨航的专栏
04-26 694
漏洞描述 风险描述 漏洞等级 修改建议 SQL注入: 没有对参数进行SQL过滤,且操作数据语句是拼接方式进行。 攻击者可以通过构造特殊URL的手段,利用SQL注入漏洞从数据库获取敏感数据、修改数据库数据(插入/更新/删除) 、执行数据库管理操作(如关闭数据库管理系统),从而能导致数据丢失或数据破坏、缺乏可审计性或是拒绝服务。注入漏洞有时
[原创]解读2017 OWASP Top10漏洞体系(含接口安全)
weixin_30587927的博客
04-27 277
2017年4月初,OWASP发布了关于Top10的征求意见版。 争议最大的是A7攻击检测与防范不足。 但我主要是按照日常的渗透漏洞进行解读分析的。 解读完毕后,首发t00ls原创文章。 https://www.t00ls.net/viewthread.php?from=notice&tid=39385 0x00 Top 10 OWASP Top10漏洞体系长期以来作为Web攻防白帽...
最新十大web安全隐患-四年之后_OWASP发布新版本OWASP Top10 2017
nicenelly的博客
11-23 3271
OWASP Top10是什么?      OWASP项目最具权威的就是其”十大安全漏洞列表”。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。      OWASP Top 10则是OWASP项目总结的10大最关键Web应用安全隐患列表。    有什么新的变化?  OWASP(开放
OWASP TOP10移动安全漏洞安卓).pdf
02-22
### OWASP TOP10移动安全漏洞安卓) #### 1. 脆弱的服务器端安全控制 在移动应用安全领域,“脆弱的服务器端安全控制”通常是指移动应用与服务器之间的交互缺乏足够的安全性。这种安全漏洞的核心在于移动应用在...
移动应用OWASP-Top-10
12-01
移动应用OWASP-Top-10是一份针对移动应用安全性的关键问题的指南,主要针对文读者,旨在帮助开发者和安全专家理解并防止常见的安全威胁。以下是对OWASP Mobile Top 10各风险点的详细解释: 1. **平台使用不当**:...
Android移动安全攻防实战(微课视频版)视频1至5
04-05
Android移动安全攻防实战(微课视频版978-7-302-60222-4)配书视频1至5 视频1 Android安全分析环境搭建.mp4 视频2 反编译Android应用.mp4 视频3 修改Smali与二次打包.mp4 ...视频5 OWASP移动安全风险Top10.mp4
网络安全(黑客技术)—2024自学手册
TDJYGC的博客
04-24 922
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)的2到3个,都可以较好的胜任工作需求。
OWASP top 10漏洞详解
热门推荐
mw_myever的博客
10-11 1万+
一、漏洞介绍  Weblogic的WLS Security组件对外提供webservice服务,其使用了XMLDecoder来解析用户传入的XML数据,在解析的过程出现反序列化漏洞,导致可执行任意命令。 二、漏洞详情 Oracle Fusion Middleware的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。 使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限。 攻击者可利用该漏洞
OWASP Top 10
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
10-15 3022
目录什么是OWASP?TOP 101.注入说明产生情况危害防范2.失效身份验证和会话管理说明产生情况危害防范3.敏感信息泄露说明产生情况危害防范4.XML外部实体注入攻击(XXE)说明产生情况危害防范5.存取控制断说明产生情况危害防范6.安全性错误配置说明产生情况危害防范7.跨站脚本攻击(XSS)说明产生情况危害防范8.不安全的反序列化说明产生情况危害防范9.使用具有已知漏洞的组件说明产生情况危害防范10.日志记录和监控不足说明产生情况危害防范 什么是OWASP? 它的全称是 Open Web Appli
OWASP - 2021
lixbao的博客
04-12 318
OWASP介绍 官网:http://www.owasp.org.cn/ OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策。目前OWASP全球拥有250个分部近7万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。 近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。 20
OWASP TOP10 2010:Web安全关键风险解析
"OWASP TOP10 2010WEB安全(文版) - 描述了2010年OWASP发布的Web应用程序安全的十大关键风险,包括风险的命名变化、评估方法以及新增和替换的风险类别。" OWASP TOP10 2010是一个重要的网络安全参考列表,由开放式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值