發布時間:6月29 2023
作者:Egidijus Lileika,資深安全研究員
2023年4月,OWASP發布了其「行動安全」工具的v2.0.0版本。 Application Security 驗證標準。 「新版本取消了原有的三個驗證級別,即 L1、L2 和 R。安全控制組驗證要求重新設計為「安全測試設定檔」,並移至 OWASP Mobile。 Application Security 測試指南或“MASTG”。這些規範現已與 NIST(美國國家標準與技術研究院)OSCAL(開放安全控制評估語言)標準保持一致。透過與 OSCAL 格式保持一致,MASVS 提供了一種更靈活、更全面的安全測試方法,並使不同安全平台和組織之間共享和重複使用安全控制變得更加容易。
重新設計的 MASVS 應用安全模型分為多個控制組,分別代表行動應用程式攻擊面中最關鍵的區域。 MASVS 2.0.0 安全控制群組包括:
每個控制組包含標有 MASVS-XXXXX-Y 的獨立單元,其中提供了為符合標準必須實施的安全措施的具體指導。
理想情況下,安全控制組的要求應該從應用程式開發生命週期的開始階段就著手解決。例如,應用程式開發人員必須安全地使用 Android 平台,解決特定的漏洞,並確保網路安全。在應用程式發布後再去解決這些問題成本很高。 MASVS-RESILIENCE 安全控制群組也不例外。雖然測試可以識別某些安全風險(包括全面的滲透測試),但諸如試圖逆向工程應用程式邏輯或攻擊最終用戶等外部威脅通常發生在應用程式發布之後。應用程式加固解決方案可確保應用程式始終滿足 MASVS-RESILIENCE 的要求。
MASVS-RESILIENCE 控制組是 MASVS 1.5.0 版本中的「V8:彈性需求」要求。此外,MASVS-RESILIENCE 也代表了已移除的 MASVS-R 驗證等級。目前,該控制組分為四個控制單元。從宏觀層面來看,這四個控制單元代表了 MASVS 1.5.0 版本中描述特定攻擊向量和攻擊區域的 13 項驗證要求。同時,這些控制單元非常抽象,可以代表任何其他新出現的攻擊向量和攻擊區域。 MASVS 1.5.0 從行動應用開發者的角度出發,提出了更具體的要求,並提及了需要防範的具體風險。由於驗證要求已作為「安全測試規範」移至 MASTG,應用程式開發者必須參考 MASTG 來了解不同攻擊向量的具體細節以及如何進行測試。
MASVS-RESILIENCE-1 要求應用程式驗證平台的完整性。平台完整性驗證包括檢查裝置是否已root或越獄、應用程式是否在模擬器上運行、應用程式是否在虛擬化器中運行,以及應用程式何時檢查裝置上是否安裝了任何惡意應用程式。
MASVS-RESILIENCE-2 需要應用程式來實現防篡改機制。防篡改機制包括:
MASVS-RESILIENCE-3 要求應用程式實現反靜態分析機制,包括程式碼混淆和加密、程式碼控制流扁平化和混淆、符號剝離和標識符重命名、死程式碼和不透明謂詞注入以及字串字面量加密。
MASVS-RESILIENCE-4 要求應用程式實現反動態分析技術。反動態分析技術包括調試檢測、動態插樁框架檢測(例如 Frida)、方法鉤子檢測和方法交換檢測。
MASVS 2.0.0 進行了簡化,但應用程式開發人員現在不能直接將其作為指南,因為它過於抽象,沒有提供足夠的攻擊向量範例以及如何測試其彈性。 MASTG 必須作為安全應用程式開發的補充參考。然而,與先前的 MASVS 版本一樣,應用程式加固工具仍然滿足 OWASP Mobile 提出的彈性要求。 Application Security 項目。
想了解建構安全可靠的行動應用的關鍵嗎?請閱讀我們的博客,了解如何利用 OWASP MAS 提升收入、保護客戶資料並降低風險: 使用 OWASP MAS 建立堅不可摧的行動應用
上個月我收到一封招聘郵件,寄件者聲稱…
在本系列的第一部分中,我們探討了…
我們經常聽到類似的反對意見:“我們已經…”
