OWASP移動安全漏洞Top 10

在owasp排第一的漏洞是「脆弱的伺服器端安全控制」，顧名思義，就是沒有以乙個安全的方式從移動應用程式向伺服器端傳送資料，或在傳送資料時暴露了一些敏感的api。

例如，考慮對乙個android應用程式登入伺服器的憑據進行身份驗證，而沒有對輸入進行驗證。攻擊者可以以這樣一種方式修改憑證來獲得伺服器敏感的或未經授權的區域。

這是移動應用以及web應用程式都存在的乙個漏洞。

在裝置上儲存任意使用者都可以訪問的與應用相關的資訊。許多android應用在shared preferences，sqlite（以明文形式）或外部儲存器中儲存著秘密的使用者相關資訊，或應用程式資訊。

開發者應始終牢記，即使把敏感資訊儲存在/data/data/package-name目錄中，但是只要手機root了，就能夠被惡意應用/攻擊者訪問。

許多android開發者使用不安全的方式進行資料傳輸，比如以http的方式，或者沒有正確實現ssl。這使得應用程式在網路上容易受到各種不同型別的攻擊發生，例如從應用向伺服器傳送資料的時候進行資料報攔截，引數操作，修改響應資料，以便獲得應用鎖定區域的訪問許可權。

當應用程式儲存資料的位置本身是脆弱的時，這個漏洞就會產生。

這些位置可能包括剪貼簿，url快取，瀏覽器的cookies，html5資料儲存，分析資料等等。

例如，乙個使用者在登入銀行應用的時候已經把密碼複製到了剪貼簿，惡意應用程式通過訪問使用者剪貼簿資料就可以獲取密碼了。

乙個android應用程式，如果它們試圖在沒有適當的安全措施的情況下通過客戶端檢測進行使用者驗證或者授權，那麼就是存在風險的。應當指出的是，手機root後大多數客戶端的保護都是可以繞過的。

因此，建議應用程式開發者使用適當的檢測方法在伺服器端進行身份驗證和授權，然後，在移動裝置上使用乙個隨機生成的令牌來驗證使用者。

使用不安全的加密函式來加密資料元件，這可能包括一些已知的脆弱演算法，如md5, sha1, rc2，甚至乙個沒有採取適當安全措施的定製開發的演算法。

sql注入：

content provider uri]--

projection "* from sqlite_master where type='table';- -"

在移動應用程式中，開發者應該清洗和檢驗使用者輸入或其它相關輸入，不可信的輸入可能會導致應用中的其它安全風險，如客戶端注入。

在進行乙個移動應用的session處理時，開發者需要關注很多的因素，比如適當過期的有效身份驗證cookie，安全令牌建立，cookie生成和旋轉，以及後台失敗的無效session。

在web應用和android應用程式之間必須保持乙個適當的安全同步。

不能夠有效的阻止應用程式被逆向或者反編譯。apktool，dex2jar等工具可以對android應用進行逆向，從而使應用暴露出各種安全風險。為了防止應用被逆向，開發者可以使用proguardand和dasho等對應用進行加固。