Я знаю, что этот вопрос может быть кажется немного вредоносным в природе, но я просто пытаюсь изучить лучшие практики разработки Android/мобильных приложений, а безопасность, безусловно, большая проблема в программном обеспечении. Если вы все еще, прочитав этот вопрос (!), Подумайте, что это злонамерен в природе, просто имейте в виду, я не прошу , как для реализации любой из этих атак, я просто прошу , который атакует хороший Android/мобильный разработчик должен быть осведомлен.Какие 10 угроз безопасности применяются к приложениям для Android?
Ниже приведен список «официальных» OWASP Топ-10 угроз безопасности для приложений (ссылка here). Мне было интересно, какие из них (если таковые имеются) применяются к разработке Android, или если есть какие-либо другие крупные нападения не перечислены здесь:
- Injection
- Cross-Site Scripting (XSS)
- Разбитое аутентификации и Управление сеансов
- небезопасная Direct Object Ссылка
- Request Cross-Site Подделки (CSRF)
- безопасность расконфигурация
- Insecu повторно Cryptographic хранения
- Невыполнение Ограничить URL Access
- Недостаточный Transport Layer Protection
- непроверенных Перенаправления и нападающие
Пожалуйста, обратите внимание: я не говорю о веб-сайтах, которые построены для отображается в мобильных устройствах , Я говорю о реальных приложениях, которые развертываются на мобильных устройствах. В случае Android это означает APK
s.
Предполагая, что вы потребляете какую-либо сетевую услугу (например, сделайте удаленный вызов, получите доступ к веб-странице ...) Я хотел бы сказать «все или все из них». (Предположим, что ваш «доверенный» сервер на самом деле является прокси, пытающийся отключить вашего клиента ...) – BRFennPocock
Я проголосовал за закрытие как «не конструктивный»; однако, я действительно должен был выбрать «Off Topic», чтобы отправить его программистам. Это не вопрос окончательного технического ответа и, как таковой, больше относится к сфере обсуждения вопросов программирования. Следовательно, programers.se – NotMe
@ChrisLively, существует [security.se] (http://security.stackexchange.com/). –