OWASP MASVS 是不是足以显示根检测警告消息,而不是完全终止应用程序?

Posted

技术标签:

【中文标题】OWASP MASVS 是不是足以显示根检测警告消息,而不是完全终止应用程序?【英文标题】:Is it enough for OWASP MASVS to display a root detection warning message, rather than terminating the app entirely?OWASP MASVS 是否足以显示根检测警告消息,而不是完全终止应用程序? 【发布时间】:2021-10-04 04:28:18 【问题描述】:

我正在对一个 android 应用程序进行渗透测试。

此应用程序检测到 ROOT 环境,但不是停止应用程序并退出,而是显示警告消息并让用户决定是否运行。

那么基于 OWASP for Mobile (MASVS),它是一个正确的实现吗?

【问题讨论】:

【参考方案1】:

是的,requirement 是(添加了重点):

8.1 MSTG-弹性-1 应用程序检测并响应已root 或越狱设备的存在通过提醒用户或终止应用程序

规范明确允许任何一个。


现在,有一些建议:作为用户,我讨厌拒绝在有根设备上运行的应用程序。我绝对会给我从应用商店中获得 1 星评级的任何应用。大多数拥有根设备的用户都在有意运行它们,并且意识到所涉及的安全权衡(例如,这通常不比在 Windows 计算机上拥有管理员帐户差)。 不要让应用程序在检测到 root 设备时终止。让用户选择做什么。

【讨论】:

以上是关于OWASP MASVS 是不是足以显示根检测警告消息,而不是完全终止应用程序?的主要内容,如果未能解决你的问题,请参考以下文章

OWASP ZAP API 根元素丢失错误

检测页面上是不是显示警报或确认

OWASP Top 10:注入XSSCSRF安全配置攻击检测与防范不足等详解鹏越·学霸专区

CSS媒体查询不足以检测超大型移动设备/平板电脑,而不是台式机[重复]

检测到电池警告显示 iPhone

如何禁用“不必要的路径消歧器”警告?