OWASP 移动 Top 10
OWASP 移动 Top 10 是什么?
OWASP 移动 Top 10OWASP 发布的意识文档,列出 iOS、Android 等平台移动应用最关键的安全风险。
OWASP 移动 Top 10 是社区主导的意识文档,概括了移动应用中最重要的安全风险。2024 版包括 Improper Credential Usage、Inadequate Supply Chain Security、Insecure Authentication/Authorization、Insufficient Input/Output Validation、Insecure Communication、Inadequate Privacy Controls、Insufficient Binary Protections、Security Misconfiguration、Insecure Data Storage 与 Insufficient Cryptography 等类别。它与 MASVS(控制框架)和 MASTG(测试指南)紧密配合。移动开发者、MAST 工具和渗透测试人员据此对修复进行优先级排序、组织培训,并向非技术干系人解释移动端特有的风险。
● 示例
- 01
移动团队按照 M1 Improper Credential Usage 优先修复硬编码 API 密钥的问题。
- 02
MAST 工具在开发者面板中按 Mobile Top 10 2024 的 ID 对发现进行分组。
● 常见问题
OWASP 移动 Top 10 是什么?
OWASP 发布的意识文档,列出 iOS、Android 等平台移动应用最关键的安全风险。 它属于网络安全的 合规与框架 分类。
OWASP 移动 Top 10 是什么意思?
OWASP 发布的意识文档,列出 iOS、Android 等平台移动应用最关键的安全风险。
OWASP 移动 Top 10 是如何工作的?
OWASP 移动 Top 10 是社区主导的意识文档,概括了移动应用中最重要的安全风险。2024 版包括 Improper Credential Usage、Inadequate Supply Chain Security、Insecure Authentication/Authorization、Insufficient Input/Output Validation、Insecure Communication、Inadequate Privacy Controls、Insufficient Binary Protections、Security Misconfiguration、Insecure Data Storage 与 Insufficient Cryptography 等类别。它与 MASVS(控制框架)和 MASTG(测试指南)紧密配合。移动开发者、MAST 工具和渗透测试人员据此对修复进行优先级排序、组织培训,并向非技术干系人解释移动端特有的风险。
如何防御 OWASP 移动 Top 10?
针对 OWASP 移动 Top 10 的防御通常结合技术控制与运营实践,详见上方完整定义。
OWASP 移动 Top 10 还有哪些其他名称?
常见的别称包括: OWASP 移动 Top Ten。
● 相关术语
- compliance№ 778
OWASP MASVS
OWASP 移动应用安全验证标准,为 iOS 与 Android 移动应用提供可测试的安全需求基线。
- compliance№ 781
OWASP Top 10
OWASP 发布的安全意识文件,列出 Web 应用最关键的安全风险,基于真实漏洞数据定期更新。
- compliance№ 774
OWASP API 安全 Top 10
OWASP 发布的意识文档,列出影响 Web API 的最关键安全风险,作为通用 OWASP Top 10 的补充。
- appsec№ 982
安全编码
在编写源代码时遵循防御性模式、语言特定规则与公认指南,以最大程度减少安全缺陷的实践。
- compliance№ 204
合规
通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。