Embed Size (px)
Citation preview
Мобильная безопасность. Что тестировать?
Igor Bondarenko. Neklo LLC
OWASP TOP 10
1/18
В этом докладе
2/18
Небезопасное хранение данных
Недостаточная защита каналов передачи данных
Слабая авторизация и аутентификация
Небезопасное управление сессиями
Insecure Data Storage
3/18
Четыре основные проблемы:
– Hardcoded and forgotten– Incorrect files permissions– SD Storage– Logs
Hardcoded and forgotten
4/18
- Default/test credentials - Test servers/ locals Ips
Incorrect files permissions
5/18
One app – One UID – 0660 mask for new files (-rw-rw----) – 0666 mask for new files (-rw-rw-rw)
SD Storage
6/18
Данные на SD карте доступны всем приложениям.
Логирование
7/18
android.permission.READ_LOGS
Защита от уязвимостей
8/18
• Не хранить данные на SD карте• Выключить логирование• Настраивайте права доступа с учетом того,
что пользователь может пользоваться телефоном с Root правами или с джйлбрейком
• Просмотрите конфигурационные файлы вашего приложения на предмет забытых данных.
Insufficient Transport Layer Protection
9/18
Основные проблемы:– Не используется шифрование.– Самоподписанные сертификаты
Шифрование
10/18
– Проверка трафика мобильного приложения– Использовать сертификаты, подписанные
доверенными центрами.– При использовании контент-провайдеров
проверять и прописывать права доступа
Контент-провайдеры
11/18
Контент провайдеры предоставляют доступ к файлам или базам данных для других приложений.
android:protectionLevel=“signature
Weak Authorization
12/18
• Анонимная работа с приложением• Использование пользователей с низким
уровнем привилегий для получения данных доступных всем пользователям
• Слабые пароли
Защита от уязвимости
13/18
• Аутентификация в мобильном приложении должна соответствовать таковой в web версии
• Локальная аутентификация должна работать через куки после того как пользователь был авторизован через сервер
• Запрет анонимной работы• Введение проверки прав пользователя• Сложные пароли
Improper Session Handling
14/18
Механизм переключения состояний:• Смена анонимного пользователя на
зарегистрированного• Переключение между зарегистрированными
пользователями• Переключение между пользователями с разными
правами доступа
Токен должен уничтожаться на сервере.
Куки должны быть невалидны.
Время жизни сессии
15/18
Долгое время жизни сессии• 15 минут для приложений с высоким уровнем
безопасности• 30 минут для приложений среднего уровня
безопасности• 1 час для остальных
Предсказуемые токены
16/18
UserID+Current_DateTime
Autoincrement
Заключение
17/18
1. Проверки не занимают много времени
2. Проверки не требуют специальных знаний
3. Все проще чем кажется
Дополнительные материалы
18/18
1. OWASP Page2. Android Security Webinar 3. Уязвимости SSL
в мобильных приложениях
