Делая свое приложение более безопасным, вы помогаете сохранить доверие пользователей и целостность устройства.
На этой странице представлен ряд распространенных проблем безопасности, с которыми сталкиваются разработчики приложений для Android. Вы можете использовать этот контент следующими способами:
- Узнайте больше о том, как обеспечить превентивную защиту ваших приложений.
- Узнайте, как реагировать в случае обнаружения одной из этих проблем в вашем приложении.
Следующий список содержит ссылки на специальные страницы для каждой отдельной проблемы, отсортированные по категориям на основе элементов управления OWASP MASVS . На каждой странице содержится краткое описание, заявление о влиянии и советы по снижению риска для вашего приложения.
МАСВС-ХРАНЕНИЕ: Хранение
- Неправильно предоставленные каталоги FileProvider
- Раскрытие информации в журнале
- Обход пути
- Конфиденциальные данные, хранящиеся во внешнем хранилище
- Обход почтового пути
MASVS-CRYPTO: Криптография
- Сломанный или рискованный криптографический алгоритм
- Жестко запрограммированные криптографические секреты
- Слабый ГПСЧ
MASVS-NETWORK: Сетевая связь
MASVS-ПЛАТФОРМА: Взаимодействие платформы
- Резолверы контента
- Перехват неявного намерения
- Небезопасное использование API
- Небезопасные приемники вещания
- Перенаправление намерения
- Управление доступом на основе разрешений к экспортированным компонентам
- Ожидающие намерения
- Отправитель ожидающих намерений
- Прикрепленные трансляции
- Атака StrandHogg/уязвимость привязки задач
- Угон
- Небезопасное использование глубоких ссылок
- WebView – собственные мосты
- Android: отлаживаемый
- Android: экспортировано
MASVS-CODE: Качество кода
- Межприложенные сценарии
- Пользовательские разрешения
- создатьPackageContext
- Динамическая загрузка кода
- Неправильное доверие к имени файла, предоставленному ContentProvider.
- Небезопасный API или библиотека
- Небезопасная настройка связи между машинами
- Рекомендации по обеспечению безопасности резервного копирования
- Безопасная обработка буфера обмена
- SQL-инъекция
- Функции тестирования/отладки
- Небезопасная десериализация
- Небезопасное имя хостаVerifier
- Небезопасный X509TrustManager
- Использование собственного кода
- Внедрение внешних сущностей XML
- Веб-просмотры – небезопасная загрузка URI