Блог A1QA

О тестировании и качестве ПО

Уязвимости мобильных приложений: OWASP Top 10 Mobile 2016

В 2014 году сообщество OWASP — открытый проект обеспечения безопасности веб-приложений — впервые провело опрос и собрало статистику по уязвимостям мобильных приложений. Цель исследования — повысить уровень безопасности приложений и позволить разработчикам и компаниям принимать взвешенные решения на стадиях разработки и тестирования мобильных продуктов.

В результате опроса был сформирован список десяти наиболее частых рисков в обеспечении безопасности мобильных приложений. В тройку лидеров 2014-15 вошли:

  • слабый контроль серверной части
  • небезопасное хранение данных
  • низкая защищенность передачи данных

В 2016 году был проведен повторный опрос, в котором приняли участие специалисты по тестированию на проникновение (38%), специалисты по информационной безопасности (35.2%), инженеры и разработчики в области безопасности (27%).

Обновленные результаты показали, что в течение двух лет разработчики активно работали над устранением основных уязвимостей, обозначенных в 2014 году. Так, удалось повысить защищенность кода и конфигурации на серверной части мобильного приложения. В то же время небезопасное хранение и передача данных остались на первых позициях рейтинга, что говорит о том, что компаниям-разработчикам только предстоит найти способы, гарантирующие уверенную защиту приложения от несанкционированного доступа.

Какие уязвимости вошли в ТОП 10 OWASP в 2016?

  • M1 Некорректное использование платформы (новая)
  • M2 Небезопасное хранение данных
  • M3 Небезопасная передача данных
  • M4 Небезопасная аутентификация
  • M5 Слабая криптографическая стойкость
  • M6 Небезопасная авторизация
  • M7 Низкое качество клиентского кода (новая)
  • M8 Модификация кода (новая)
  • M9 Обратная разработка (новая)
  • M10 Скрытая функциональность (новая)

 

owasp-top-10-yjazvimostej-mobilnyh-prilozhenij-2016-ru

Информационная безопасность – один из приоритетов компании A1QA. Мы высоко ценим результаты исследований OWASP и используем их при выявлении уязвимостей и оценке информационной безопасности мобильных продуктов наших клиентов.

Поделиться статьей: