การทำให้แอปปลอดภัยยิ่งขึ้นช่วยรักษาความไว้วางใจของผู้ใช้และอุปกรณ์ ความสมบูรณ์
หน้านี้จะแสดงชุดปัญหาด้านความปลอดภัยที่พบบ่อยซึ่งนักพัฒนาแอป Android ใบหน้า คุณใช้เนื้อหานี้ได้ด้วยวิธีต่อไปนี้
- ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีรักษาความปลอดภัยของแอปในเชิงรุก
- ทำความเข้าใจวิธีโต้ตอบในกรณีที่ตรวจพบปัญหาใดปัญหาหนึ่งใน แอปของคุณ
รายการต่อไปนี้มีลิงก์ไปยังหน้าสำหรับแต่ละปัญหาโดยเฉพาะ จัดเรียงตามหมวดหมู่ตาม OWASP MASVS แต่ละหน้าจะประกอบด้วยข้อมูลสรุป ข้อความผลกระทบ และเคล็ดลับสำหรับ ลดความเสี่ยงที่จะเกิดกับแอปของคุณ
MASVS-STORAGE: พื้นที่เก็บข้อมูล
- ไดเรกทอรีที่เปิดเผยอย่างไม่ถูกต้องไปยัง FileProvider
- การเปิดเผยข้อมูลบันทึก
- Path Traversal
- ข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในพื้นที่เก็บข้อมูลภายนอก
- Zip Path Traversal
MASVS-CRYPTO: วิทยาการเข้ารหัสลับ
MASVS-NETWORK: การสื่อสารผ่านเครือข่าย
MASVS-PLATFORM: การโต้ตอบกับแพลตฟอร์ม
- รีโซลเวอร์เนื้อหา
- การลักลอบใช้ Intent แบบไม่เจาะจงปลายทาง
- การใช้งาน API ไม่ปลอดภัย
- Broadcast Receiver ที่ไม่ปลอดภัย
- การเปลี่ยนเส้นทาง Intent
- การควบคุมการเข้าถึงตามสิทธิ์เข้าถึงคอมโพเนนต์ที่ส่งออก
- Intent ที่รอดำเนินการ
- ผู้ส่ง Intent ที่รอดำเนินการ
- การออกอากาศแบบติดหนึบ
- การโจมตี StrandHogg / ช่องโหว่ของ Task Affinity
- การหลอกล่อ
- android:debuggable
- android:exported
MASVS-CODE: คุณภาพโค้ด
- สิทธิ์ที่กำหนดเอง
- createPackageContext
- การโหลดโค้ดแบบไดนามิก
- การเชื่อถือชื่อไฟล์ที่ได้จาก ContentProvider อย่างไม่ถูกต้อง
- API หรือไลบรารีที่ไม่ปลอดภัย
- การตั้งค่าการสื่อสารระหว่างเครื่องกับเครื่องที่ไม่ปลอดภัย
- การจัดการคลิปบอร์ดอย่างปลอดภัย
- การแทรก SQL
- ฟีเจอร์ทดสอบ/แก้ไขข้อบกพร่อง
- การแยกอนุกรมที่ไม่ปลอดภัย
- HostnameVerifier ที่ไม่ปลอดภัย
- X509TrustManager ที่ไม่ปลอดภัย
- การใช้โค้ดเนทีฟ
- การแทรกเอนทิตีภายนอก XML
- WebView - การโหลด URI ที่ไม่ปลอดภัย