การทำให้แอปมีความปลอดภัยมากขึ้นจะช่วยรักษาความเชื่อมั่นของผู้ใช้และความสมบูรณ์ของอุปกรณ์
หน้านี้จะแสดงชุดปัญหาด้านความปลอดภัยที่พบบ่อยซึ่งนักพัฒนาแอป Android พบ คุณใช้เนื้อหานี้ได้ในลักษณะต่อไปนี้
- ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีรักษาความปลอดภัยของแอปในเชิงรุก
- ทําความเข้าใจวิธีจัดการในกรณีที่พบปัญหาเหล่านี้ในแอป
รายการต่อไปนี้มีลิงก์ไปยังหน้าสำหรับแต่ละปัญหาโดยเฉพาะ ซึ่งจัดเป็นหมวดหมู่ตามการควบคุม OWASP MASVS แต่ละหน้าจะมีสรุป ข้อความผลกระทบ และเคล็ดลับในการลดความเสี่ยงต่อแอป
MASVS-STORAGE: พื้นที่เก็บข้อมูล
- ไดเรกทอรีที่เปิดเผยอย่างไม่ถูกต้องไปยัง FileProvider
- การเปิดเผยข้อมูลบันทึก
- Path Traversal
- ข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในพื้นที่เก็บข้อมูลภายนอก
- Zip Path Traversal
MASVS-CRYPTO: วิทยาการเข้ารหัสลับ
MASVS-NETWORK: การสื่อสารผ่านเครือข่าย
MASVS-PLATFORM: การโต้ตอบกับแพลตฟอร์ม
- โปรแกรมแก้ไขเนื้อหา
- การลักลอบใช้ Intent แบบไม่เจาะจงปลายทาง
- การใช้งาน API ไม่ปลอดภัย
- Broadcast Receiver ที่ไม่ปลอดภัย
- การเปลี่ยนเส้นทาง Intent
- การควบคุมการเข้าถึงคอมโพเนนต์ที่ส่งออกตามสิทธิ์
- Intent ที่รอดำเนินการ
- ผู้ส่ง Intent ที่รอดำเนินการ
- การออกอากาศแบบติดหนึบ
- การโจมตี StrandHogg / ช่องโหว่ของ Task Affinity
- การหลอกล่อ
- การใช้ Deep Link ที่ไม่ปลอดภัย
- WebView – บริดจ์แบบเนทีฟ
- android:debuggable
- android:exported
MASVS-CODE: คุณภาพโค้ด
- การเขียนสคริปต์ข้ามแอป
- สิทธิ์ที่กำหนดเอง
- createPackageContext
- การโหลดโค้ดแบบไดนามิก
- การเชื่อถือชื่อไฟล์ที่ ContentProvider ระบุอย่างไม่เหมาะสม
- API หรือไลบรารีที่ไม่ปลอดภัย
- การตั้งค่าการสื่อสารแบบเครื่องต่อเครื่องที่ไม่ปลอดภัย
- แนวทางปฏิบัติแนะนำด้านความปลอดภัยสำหรับการสำรองข้อมูล
- การจัดการคลิปบอร์ดอย่างปลอดภัย
- การแทรก SQL
- ฟีเจอร์ทดสอบ/แก้ไขข้อบกพร่อง
- การแยกอนุกรมที่ไม่ปลอดภัย
- HostnameVerifier ที่ไม่ปลอดภัย
- X509TrustManager ไม่ปลอดภัย
- การใช้โค้ดเนทีฟ
- การแทรกเอนทิตีภายนอก XML
- WebView - การโหลด URI ที่ไม่ปลอดภัย