OWASP MASVS 是不是足以显示根检测警告消息,而不是完全终止应用程序?
Posted
技术标签:
【中文标题】OWASP MASVS 是不是足以显示根检测警告消息,而不是完全终止应用程序?【英文标题】:Is it enough for OWASP MASVS to display a root detection warning message, rather than terminating the app entirely?OWASP MASVS 是否足以显示根检测警告消息,而不是完全终止应用程序? 【发布时间】:2021-10-04 04:28:18 【问题描述】:我正在对一个 android 应用程序进行渗透测试。
此应用程序检测到 ROOT 环境,但不是停止应用程序并退出,而是显示警告消息并让用户决定是否运行。
那么基于 OWASP for Mobile (MASVS),它是一个正确的实现吗?
【问题讨论】:
【参考方案1】:是的,requirement 是(添加了重点):
8.1 MSTG-弹性-1 应用程序检测并响应已root 或越狱设备的存在通过提醒用户或终止应用程序。
规范明确允许任何一个。
现在,有一些建议:作为用户,我讨厌拒绝在有根设备上运行的应用程序。我绝对会给我从应用商店中获得 1 星评级的任何应用。大多数拥有根设备的用户都在有意运行它们,并且意识到所涉及的安全权衡(例如,这通常不比在 Windows 计算机上拥有管理员帐户差)。 请不要让应用程序在检测到 root 设备时终止。让用户选择做什么。
【讨论】:
以上是关于OWASP MASVS 是不是足以显示根检测警告消息,而不是完全终止应用程序?的主要内容,如果未能解决你的问题,请参考以下文章
OWASP Top 10:注入XSSCSRF安全配置攻击检测与防范不足等详解鹏越·学霸专区