Android / iOSアプリケーションのセキュリティテストチェックリスト
OWASPによると、 モバイルアプリケーションの脆弱性トップ1 のリストがあります。
しかし、モバイルアプリ、特にAndroidアプリの脆弱性の数は、ここに記載されているものよりもはるかに多くあります。また、どちらの包括的なチェックリストも見つかりませんでしたAndroidまたはインターネットの任意の場所でのiOS侵入テスト。モバイルアプリケーションの脆弱性とそのテスト方法のリストがある場合は、こちらで共有してください。そのようなソースへのリンクのようなものも含まれます。
Androidデバイスをテストする方法を定義することを目的とするOASAMと呼ばれるプロジェクトがあります。
あなたはそれをここで見つけることができます: http://oasam.org/en
このガイドには次のセクションがあります。
- OASAM-INFO:情報収集:情報収集と攻撃面の定義。
- OASAM-CONF:構成と展開の管理:構成と展開の評価。
- OASAM-AUTH:認証:認証評価。
- OASAM-CRYPT:暗号化:暗号化使用の評価。
- OASAM-LEAK:情報漏えい:機密情報漏えいの評価。
- OASAM-DV:データ検証:ユーザーエントリ管理評価。
- OASAM-IS:意図的スプーフィング:意図的受付管理評価。
- OASAM-UIR:不正なインテント受領:インテント解決評価。
- OASAM-BLビジネスロジック:アプリケーションビジネスロジックの評価。
AppSecにはすばらしい list :
- アプリケーションコードのリバースエンジニアリング
- 共通ライブラリとフィンガープリントのテスト
- アプリケーション既知のコントローラーの列挙
- Logcatによる情報開示
- コードに隠された秘密
- 機密データの共有ストレージへの保存(制限なしにすべてのアプリケーションに公開)
- 暗号ベースのストレージ強度
- コンテンツプロバイダーのアクセス許可
- コンテンツプロバイダーのSQLインジェクション
- プライバシーとメタデータの漏洩
- Logcatのユーザープロパティデータ
- Logcatの技術的に貴重なデータ
- 公開されたコンポーネントとアプリケーション間認証
- 権限とデジタル署名データ共有の問題
- クリップボードの分離
- パブリックインテントと認証されていないデータソース
- パブリックインテントと承認の欠陥
- コードの混乱とアプリケーションの状態の悪用
- 競合状態、デッドロック、同時実行の脅威
- デバイス内サービス拒否攻撃
- 攻撃者の可視要素でのデバイス固有識別子の公開
- 攻撃者の目に見えるコンポーネントへのプライベートユーザーデータの公開
- 安全でない方法でのアプリケーションインストールの追跡
- ジャッキをタップ
- クライアント側ベースの承認決定
- ビジネスロジックのバイパス
- WebViewセキュリティ
- 外部の公開Java WebViews DOMのインターフェース
- WebViewsでのJavaScript実行リスク
- コード署名
- Dalvikへの動的DEXのロード
- 動的コード実行決定の悪用
- スタックベースのバッファオーバーフロー
- ヒープベースのバッファオーバーフロー
- オブジェクトのライフタイムの脆弱性(解放後使用、二重解放)
- 書式文字列の脆弱性
- NDK公開コードの秘密
- 整数オーバーフロー
- 整数アンダーフロー
- 安全でないトランスポート層プロトコル
- TLS Authenticityの欠陥
- TLSの弱い暗号化
- TLS証明書ピン留めのバイパス
- TLSの既知の問題– CRIME、BREACH、BEAST、Lucky13、RC4など…
- 証明書の検証を無効にする
- 安全でない認証ベクトル(IMEI、MACなど)の使用
- クロスアプリケーション認証
- ローカル認証バイパスの脅威
- クライアント側ベースの認証の欠陥
- クライアント側の承認違反
- 共有ユーザーリソース
- 過剰な権限
- 公的リソースへの特権データの開示
OWASPモバイルセキュリティテストガイド- https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#tab=Mobile_Security_Testing UPDATE-here- https:// docs。 google.com/document/d/1N7zMXlFHtWfc00xa6lRHnVB60U4BZO4SbUrWYMbojVM/edit?usp=sharing
(GDocsファイルへのリンクと大きな概要)