Android 台灣中文網

標題: 移動式裝置的十大弱點風險 [打印本頁]

---

作者: simbawcps    時間: 2013-3-31 10:23
標題: 移動式裝置的十大弱點風險
OWASP Top 10 Mobile Risks
移動式裝置的十大弱點風險

OWASP在美國發表關於移動式裝置的十大弱點風險，採用可攜式裝置威脅模型(Mobile
Threat Model)的研究方法，該研究方法將可攜式裝置遭受的威脅分成6大分類，分別為：
詐欺(Spoofing)、拒絕(Repudiation)、阻斷服務(Denial of Service)、竄改(Tampering)、
資訊洩漏(Information Disclosure)、提升權限(Elevation of Privilege)
OWASP再將上述分類依照風險所造成嚴重性衝擊(例如：機密性、完整性、可用性)加以定出十大弱點

M1. 不安全的資料儲存(Insecure Data Storage)
意指敏感性資料未受到適當的保護，一般常見如敏感性資料未加密，或是一些不常用到的暫存資料可能含有
敏感訊息(例如：登入帳號與密碼)，可能會造成機密性資料損失、憑證外洩、侵犯隱私權等衝擊。

M2. 弱伺服器端的控制(Weak Server Side Controls)
主要是說明Mobile的弱點並不只單存在於Mobile端，所開發的APP應用程式或雲端系統的程式亦有可能存
在弱點。

M3. 傳輸層保護不足(Insufficient Transport Layer Protection)
可攜式行動裝置於傳輸機敏性資料時，很常發生未加密情況。

M4. 客戶端注入(Client Side Injection)
Injection攻擊一直都是相當好用的攻擊手法。

M5. 粗糙的授權與認證(Poor Authorization and Authentication)
部分可攜式行動裝置的網頁應用程式僅採用永不變的數值來執行身分驗證與授權階段。

M6. 不適當的會話處理(Improper Session Handling)
可攜式行動裝置的應用程式session過期時間，一般而言會設定的比較長，原因是對使用者方便存取或使
用。

M7. 安全決策是經由不受信任的輸入(Security Decisions Via Untrusted Inputs)
在各種可攜式行動裝置的平台均會發生(例如：iOS、Andriod)，應用程式可能經由惡意攻擊者精心設計，或
是應用程式遭攻擊者透過Client Side Injection攻擊方式來消耗可攜式行動裝置的硬體資源或提升權限情形
。

M8. 側通道資料洩漏(Side Channel Data Leakage)
這邊的Side Channel比較像是可攜式行動裝置中的第三方應用程式，這些應用程式可能會自動幫使用者儲
存一些敏感性資訊，例如：網頁暫存(Web Cache)、按鍵側錄(Keystorke Logging)、擷取畫面
(Screenshots)、日誌檔(Logs)或暫存目錄(Temp Directories)等，一但攻擊者成功取得可攜式行動裝置
權限時，將會侵犯使用者隱私，甚至導致資料洩漏情形。

M9. 加密失效(Broken Cryptography)
所謂加密失效分為兩種情況，一種是使用強健的加密演算法卻遭到解鎖，另一種為使用過於簡單的加密演算
法遭到解鎖。

M10. 敏感資訊洩漏(Sensitive Informaiton Disclosure)
此弱點的洩漏方式，乃是指應用程式原始碼中，把輸入或輸出的相關參數直接寫入在程式碼當中，因此只要
攻擊者能夠取得應用程式的原始碼(例如：透過逆向工程手法)，若原始程式碼內容含有敏感資訊，像是API
金鑰、帳號或密碼等，可能會造成企業內部的智慧財產暴露或各人憑證洩漏等情況。

資料來源網址:squaremax.pixnet.net/blog/post/86780972-%E6%B7%BA%E8%AB%87owasp-top-10-mobile-risks

Top 10 Mobile Risks, Release Candidate v1.0

M1: Insecure Data Storage
M2: Weak Server Side Controls
M3: Insufficient Transport Layer Protection
M4: Client Side Injection
M5: Poor Authorization and Authentication
M6: Improper Session Handling
M7: Security Decisions Via Untrusted Inputs
M8: Side Channel Data Leakage
M9: Broken Cryptography
M10: Sensitive Information Disclosure

資料來源網址:www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_-_Top_Ten_Mobile_Risks

網路的使用還是存在一定的風險,請善用此一工具

---

歡迎光臨 Android 台灣中文網 (https://apk.tw/)

Powered by Discuz! X3.1