Мобильная безопасность. Что тестировать? Igor Bondarenko. Neklo LLC
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Мобильная безопасность. Что тестировать?
Igor Bondarenko. Neklo LLC
OWASP TOP 10
1/18
В этом докладе
2/18
Небезопасное хранение данных
Недостаточная защита каналов передачи данных
Слабая авторизация и аутентификация
Небезопасное управление сессиями
Insecure Data Storage
3/18
Четыре основные проблемы:
– Hardcoded and forgotten– Incorrect files permissions– SD Storage– Logs
Hardcoded and forgotten
4/18
- Default/test credentials - Test servers/ locals Ips
Incorrect files permissions
5/18
One app – One UID – 0660 mask for new files (-rw-rw----) – 0666 mask for new files (-rw-rw-rw)
SD Storage
6/18
Данные на SD карте доступны всем приложениям.
Логирование
7/18
android.permission.READ_LOGS
Защита от уязвимостей
8/18
• Не хранить данные на SD карте• Выключить логирование• Настраивайте права доступа с учетом того,
что пользователь может пользоваться телефоном с Root правами или с джйлбрейком
• Просмотрите конфигурационные файлы вашего приложения на предмет забытых данных.
Insufficient Transport Layer Protection
9/18
Основные проблемы:– Не используется шифрование.– Самоподписанные сертификаты
Шифрование
10/18
– Проверка трафика мобильного приложения– Использовать сертификаты, подписанные
доверенными центрами.– При использовании контент-провайдеров
проверять и прописывать права доступа
Контент-провайдеры
11/18
Контент провайдеры предоставляют доступ к файлам или базам данных для других приложений.
android:protectionLevel=“signature
Weak Authorization
12/18
• Анонимная работа с приложением• Использование пользователей с низким
уровнем привилегий для получения данных доступных всем пользователям
• Слабые пароли
Защита от уязвимости
13/18
• Аутентификация в мобильном приложении должна соответствовать таковой в web версии
• Локальная аутентификация должна работать через куки после того как пользователь был авторизован через сервер
• Запрет анонимной работы• Введение проверки прав пользователя• Сложные пароли
Improper Session Handling
14/18
Механизм переключения состояний:• Смена анонимного пользователя на
зарегистрированного• Переключение между зарегистрированными
пользователями• Переключение между пользователями с разными
правами доступа
Токен должен уничтожаться на сервере.
Куки должны быть невалидны.
Время жизни сессии
15/18
Долгое время жизни сессии• 15 минут для приложений с высоким уровнем
безопасности• 30 минут для приложений среднего уровня
безопасности• 1 час для остальных
Предсказуемые токены
16/18
UserID+Current_DateTime
Autoincrement
Заключение
17/18
1. Проверки не занимают много времени
2. Проверки не требуют специальных знаний
3. Все проще чем кажется
Дополнительные материалы
18/18
1. OWASP Page2. Android Security Webinar 3. Уязвимости SSL
в мобильных приложениях
Related Documents
