من خلال تحسين أمان تطبيقك، يمكنك المساعدة في الحفاظ على ثقة المستخدمين وتكامل الأجهزة.
تقدّم هذه الصفحة مجموعة من المشاكل الأمنية الشائعة التي يواجهها مطوّرو تطبيقات Android. يمكنك استخدام هذا المحتوى بالطُرق التالية:
- مزيد من المعلومات حول كيفية تأمين تطبيقاتك بشكل استباقي
- تعرَّف على كيفية التصرف في حال رصد إحدى هذه المشاكل في تطبيقك.
تحتوي القائمة التالية على روابط تؤدي إلى صفحات مخصّصة لكل مشكلة فردية، وهي مرتبة حسب الفئات استنادًا إلى عناصر التحكّم في OWASP MASVS. تتضمّن كل صفحة ملخّصًا وبيانًا عن التأثير ونصائح بشأن التخفيف من المخاطر التي تهدّد تطبيقك.
MASVS-STORAGE: مساحة التخزين
- الدلائل المعروضة بشكل غير صحيح لخدمة FileProvider
- الإفصاح عن معلومات السجلّ
- اجتياز المسار
- البيانات الحساسة المخزّنة في مساحة تخزين خارجية
- ثغرة Zip Path Traversal
MASVS-CRYPTO: التشفير
MASVS-NETWORK: Network Communication
MASVS-PLATFORM: تفاعل المنصة
- أدوات حل المحتوى
- الاستيلاء على رسالة Intent الضمنية
- استخدام غير آمن لواجهة برمجة التطبيقات
- أجهزة استقبال البث غير الآمنة
- إعادة توجيه الطلب
- التحكّم في الوصول إلى المكوّنات التي تم تصديرها استنادًا إلى الأذونات
- الطلبات المعلّقة
- مُرسِل PendingIntents
- البث الثابت
- الهجوم StrandHogg / ثغرة Task Affinity
- Tapjacking
- الاستخدام غير الآمن للروابط لصفحات في التطبيق
- WebView: عمليات الربط الأصلية
- android:debuggable
- android:exported
MASVS-CODE: جودة الرمز
- هجمات Cross-App Scripting
- الأذونات المخصّصة
- createPackageContext
- تحميل الرموز البرمجية الديناميكية
- الثقة بشكل غير صحيح باسم الملف المقدَّم من ContentProvider
- واجهة برمجة تطبيقات أو مكتبة غير آمنة
- إعداد اتصالات غير آمنة بين الأجهزة
- أفضل ممارسات الأمان للنسخ الاحتياطية
- التعامل مع الحافظة الآمنة
- إدخال أوامر لغة الاستعلامات البنيوية (SQL)
- ميزات الاختبار/تصحيح الأخطاء
- الترميز غير الآمن
- واجهة HostnameVerifier غير الآمنة
- X509TrustManager غير الآمن
- استخدام رموز برمجية أصلية
- حقن عناصر XML الخارجية
- Webviews - تحميل معرّف موارد منتظم (URI) غير آمن