【移动安全】OWASP MASTG 移动应用程序安全测试指南

news2024/10/20 6:52:27

OWASP 是 Open Web Application Security Project
MASTG 是 Mobile Application Security Testing Guide 移动应用程序安全测试指南

英文网站：https://mas.owasp.org/MASTG/
中文网站：http://www.owasp.org.cn/OWASP-CHINA/owasp-project/owasp-mobile-security-testing-guide/

最新一版是2023-10-31发布的
https://github.com/OWASP/owasp-mastg

简介

The OWASP Mobile Application Security Testing Guide (MASTG) is a comprehensive manual for mobile app security testing and reverse engineering. It describes technical processes for verifying the controls listed in the OWASP MASVS through the weaknesses defined by the OWASP MASWE.

MASVS (安全标准)

Mobile Application Security Verification Standard，移动应用程序安全验证标准

https://mas.owasp.org/MASVS/

MAS Checklist (安全检查表)

Mobile Application Security Checklist，移动应用程序安全检查表

英文版地址：https://mas.owasp.org/MASVS/#the-masvs-control-groups
中文版链接：http://www.owasp.org.cn/OWASP-CHINA/owasp-project/owasp-mobile-security-testing-guide/OWASP_MAS_Checklistv2.0.0.pdf

MASVS-STORAGE: Secure storage of sensitive data on a device (data-at-rest).
MASVS-CRYPTO: Cryptographic functionality used to protect sensitive data.
MASVS-AUTH: Authentication and authorization mechanisms used by the mobile app.
MASVS-NETWORK: Secure network communication between the mobile app and remote endpoints (data-in-transit).
MASVS-PLATFORM: Secure interaction with the underlying mobile platform and other installed apps.
MASVS-CODE: Security best practices for data processing and keeping the app up-to-date.
MASVS-RESILIENCE: Resilience to reverse engineering and tampering attempts.
MASVS-PRIVACY: Privacy controls to protect user privacy.

'------------------------------------------------------------------------------------------------------------

1）MASVS-STORAGE: 存储
MASVS-STORAGE-1 应用程序安全地存储敏感数据。
MASVS-STORAGE-2 应用程序可防止敏感数据泄漏。

2）MASVS-CRYPTO: 密码学
MASVS-CRYPTO-1 应用程序采用了当前强大的加密技术，可以根据行业的最佳实践来使用它。
MASVS-CRYPTO-2 应用程序根据行业最佳实践执行密钥管理。

3）MASVS-AUTH: 认证和授权
MASVS-AUTH-1 应用程序使用安全身份验证和授权协议,并遵循相关的最佳实践。
MASVS-AUTH-2 应用程序根据平台最佳实践安全执行本地身份验证。
MASVS-AUTH-3 应用程序通过额外的身份验证保护敏感操作。

4）MASVS-NETWORK: 网络通讯
MASVS-NETWORK-1 应用程序根据当前最佳实践保护所有网络流量。
MASVS-NETWORK-2 应用程序在开发人员的控制下为所有远程终端执行身份固定。

5）MASVS-PLATFORM: 联动平台
MASVS-PLATFORM-1 应用安全使用IPC机制。
MASVS-PLATFORM-2 应用程序安全使用WebView。
MASVS-PLATFORM-3 应用程序安全使用用户界面。

6）MASVS-CODE: 代码质量

7）MASVRESILIENCE: 逆向工程对抗和防篡改的能力

在这里插入图片描述