1 15 Table of Contents 17 101

URN_NBN_SI_DOC-RKSH48DC

SIR * IUS, september 2020 16 12. OWASP MOBILE TOP 10 Podobno kot za spletne pomanjkljivosti je OWASP leta 2014 začel pripravljati seznam za mobilne aplikacije [8]. Mobilne aplikacije so sicer zelo podobne spletnim aplikacijam, saj komunicirajo z zalednimi sistemi, vendar pa imajo nekatere posebnosti, ki jih je treba upoštevati pri pregledih. Za Top 10 pomanjkljivosti je OWASP izpostavil naslednja področja: • Improper Platform Usage – ta kategorija pokriva napačno ali pomanjkljivo uporabo lastnosti platforme (android ali IoS), na primer napačno uporabo pravic ali nepravilno uporabo kakšne druge varnostne kontrole, ki jo omogoča platforma. • Insecure Data Storage – nepravilno ali neprimerno shranjevanje podatkov na način, da lahko druge aplikacije dostopajo do njih. • Insecure Communication – pomanjkljiva ali napačna konfiguracija pri prenosu podatkov do zalednih sistemov ali možnost prestrezanja podatkov. • Insecure Authentication – slaba avtentikacijska shema, ki omogoča napadalcem, da jo zaobidejo ali omogoča ugibanje gesel uporabnikov z grobo sil o 6 . • Insufficient Cryptography – uporaba slabih šifrirnih mehanizmov. • Insecure Authorization – uspešni klici metod in dostop do podatkov, ki jih uporabnik ne bi smel klicati z njegovimi pravicami. • Client Code Quality – nerazumevanje napadov in delovanje platforme, kar lahko privede do izvajanja škodljive kode na mobilnih napravah. • Code Tampering – sprememba originalne aplikacije in poskus namestitve škodljive aplikacije na napravo uporabnika ali preusmeritev na škodljivo stran. • Reverse Engineering – vzvratno inženirstvo aplikacije. Potrebna je ustrezna zaščita aplikacije, da se oteži delo hekerjem. • Extraneous Functionality – analiza skritih funkcij v sami aplikaciji ali na zalednih sistemih. Za dobro in uspešno revizijo mobilnih aplikacij je treba poleg možnih pomanjkljivosti poznati tudi osnovno delovanje platform, saj ima vsaka svoje posebnosti, ki jih je pri gradnji aplikacij treba tudi upoštevati. 6 Reševanje problema, pri katerem se sistematično preverjajo vse možnosti, dokler se ne najde rešitve; ( Angl.: brute force ).

RkJQdWJsaXNoZXIy