設為首頁收藏本站
快捷導航
綁定帳號登入

Android 台灣中文網

Android 台灣中文網»討論區 Android 資源分享 Android 資源交流 移動式裝置的十大弱點風險
返回列表 發新帖
打印 上一主題 下一主題

[其他] 移動式裝置的十大弱點風險

[複製連結] 查看: 3015|回覆: 0|好評: 1
跳轉到指定樓層
樓主
simbawcps | 收聽TA | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
發表於 2013-3-31 10:23

馬上加入Android 台灣中文網,立即免費下載應用遊戲。

您需要 登錄 才可以下載或查看,沒有帳號?註冊

x
OWASP Top 10 Mobile Risks
移動式裝置的十大弱點風險

OWASP在美國發表關於移動式裝置的十大弱點風險,採用可攜式裝置威脅模型(Mobile
Threat Model)的研究方法,該研究方法將可攜式裝置遭受的威脅分成6大分類,分別為:
詐欺(Spoofing)、拒絕(Repudiation)、阻斷服務(Denial of Service)、竄改(Tampering)、
資訊洩漏(Information Disclosure)、提升權限(Elevation of Privilege)
OWASP再將上述分類依照風險所造成嚴重性衝擊(例如:機密性、完整性、可用性)加以定出十大弱點

M1. 不安全的資料儲存(Insecure Data Storage)
意指敏感性資料未受到適當的保護,一般常見如敏感性資料未加密,或是一些不常用到的暫存資料可能含有
敏感訊息(例如:登入帳號與密碼),可能會造成機密性資料損失、憑證外洩、侵犯隱私權等衝擊。

M2. 弱伺服器端的控制(Weak Server Side Controls)
主要是說明Mobile的弱點並不只單存在於Mobile端,所開發的APP應用程式或雲端系統的程式亦有可能存
在弱點。

M3. 傳輸層保護不足(Insufficient Transport Layer Protection)
可攜式行動裝置於傳輸機敏性資料時,很常發生未加密情況。

M4. 客戶端注入(Client Side Injection)
Injection攻擊一直都是相當好用的攻擊手法。

M5. 粗糙的授權與認證(Poor Authorization and Authentication)
部分可攜式行動裝置的網頁應用程式僅採用永不變的數值來執行身分驗證與授權階段。

M6. 不適當的會話處理(Improper Session Handling)
可攜式行動裝置的應用程式session過期時間,一般而言會設定的比較長,原因是對使用者方便存取或使
用。

M7. 安全決策是經由不受信任的輸入(Security Decisions Via Untrusted Inputs)
在各種可攜式行動裝置的平台均會發生(例如:iOS、Andriod),應用程式可能經由惡意攻擊者精心設計,或
是應用程式遭攻擊者透過Client Side Injection攻擊方式來消耗可攜式行動裝置的硬體資源或提升權限情形


M8. 側通道資料洩漏(Side Channel Data Leakage)
這邊的Side Channel比較像是可攜式行動裝置中的第三方應用程式,這些應用程式可能會自動幫使用者儲
存一些敏感性資訊,例如:網頁暫存(Web Cache)、按鍵側錄(Keystorke Logging)、擷取畫面
(Screenshots)、日誌檔(Logs)或暫存目錄(Temp Directories)等,一但攻擊者成功取得可攜式行動裝置
權限時,將會侵犯使用者隱私,甚至導致資料洩漏情形。

M9. 加密失效(Broken Cryptography)
所謂加密失效分為兩種情況,一種是使用強健的加密演算法卻遭到解鎖,另一種為使用過於簡單的加密演算
法遭到解鎖。

M10. 敏感資訊洩漏(Sensitive Informaiton Disclosure)
此弱點的洩漏方式,乃是指應用程式原始碼中,把輸入或輸出的相關參數直接寫入在程式碼當中,因此只要
攻擊者能夠取得應用程式的原始碼(例如:透過逆向工程手法),若原始程式碼內容含有敏感資訊,像是API
金鑰、帳號或密碼等,可能會造成企業內部的智慧財產暴露或各人憑證洩漏等情況。

資料來源網址:squaremax.pixnet.net/blog/post/86780972-%E6%B7%BA%E8%AB%87owasp-top-10-mobile-risks

Top 10 Mobile Risks, Release Candidate v1.0

M1: Insecure Data Storage
M2: Weak Server Side Controls
M3: Insufficient Transport Layer Protection
M4: Client Side Injection
M5: Poor Authorization and Authentication
M6: Improper Session Handling
M7: Security Decisions Via Untrusted Inputs
M8: Side Channel Data Leakage
M9: Broken Cryptography
M10: Sensitive Information Disclosure

資料來源網址:www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_-_Top_Ten_Mobile_Risks

網路的使用還是存在一定的風險,請善用此一工具
「用Android 就來APK.TW」,快來加入粉絲吧!
Android 台灣中文網(APK.TW)
, 十大, Mobile, 敏感性

評分

參與人數 3碎鑽 +5 經驗 +1 幫助 +5 技術 +1 收起 理由
WECAN1688 + 1 + 1 + 1 神馬都是浮雲+2
magkono + 3 + 3 神馬都是送鮮花+碎鑽+幫助來支持感謝您的.
sss888999 + 1 + 1 + 1 神馬都要再補給你一分

查看全部評分

收藏收藏 分享分享 分享專題

相關帖子

用Android 就來Android 台灣中文網(https://apk.tw)
回覆

使用道具 舉報

返回列表 發新帖
高級模式
B Color Image Link Quote Code Smilies
您需要登錄後才可以回帖 登錄 | 註冊

本版積分規則


聯繫我們|小黑屋|手機版|Archiver|Android 台灣中文網

GMT+8, 2025-6-28 09:19 , Processed in 0.090344 second(s), 20 queries , Gzip On, Memcache On.

Powered by APK.TW v2.0

© 2013 APK.TW