MASTG 演示

关于 MASTG 演示

演示是一些说明文档，演示了示例应用程序中的弱点。 它们可以被看作是测试的实际应用。

每个演示都包含以下信息

• 概述: 演示的简要说明。
• 示例: 展示弱点的代码片段。
• 步骤: 识别示例代码中弱点的具体步骤。
• 观察: 描述针对代码运行测试的结果。
• 评估: 对测试结果的评估，解释为什么测试失败或通过。

MASTG 中的所有演示都以 markdown 编写，位于 demos 目录中。

每个演示目录包含以下文件

• MASTG-DEMO-****.md: 包含演示文档的 markdown 文件。
• MastgTest.kt: 展示弱点的 Kotlin 代码片段。
• output.txt: 针对代码运行测试的输出。
• run.sh: 针对代码运行测试的脚本。

根据测试的不同，演示可能包含其他文件，例如配置文件或附加的代码片段、脚本（例如，在 Python 中）或输出文件。 示例以 Kotlin 或 Swift 编写，具体取决于平台。 在某些情况下，示例还将包括配置文件，例如 AndroidManifest.xml 或 Info.plist。

如果可以反编译该示例，则演示中还会提供反编译的代码。 这对于理解应用程序上下文中代码非常有用。

演示需要完全独立，不应依赖于外部资源或依赖项。 这确保了演示可以独立运行，并且结果可重现。 它们必须被证明可以在提供的示例应用程序上工作，并且在包含在 MASTG 中之前必须经过彻底的测试。

MAS 测试应用

为了使我们的新演示可靠且一致，我们需要确保结果可重现并且可以进行测试和验证。 这就是新的 MASTestApps 的用武之地。 它们是两个非常简单的应用程序，在 Android 和 iOS 上相互镜像。 演示必须使用这些应用程序来实现。 这有助于审阅者，并作为创建和练习您的 MAS 技能的场所。

• MASTestApp-Android
• MASTestApp-iOS

只需克隆存储库并按照说明在本地计算机上运行应用程序。 在将演示提交到 MASTG 之前，使用它们验证演示。

重要免责声明

请仔细阅读此免责声明，因为它包含有关使用移动应用程序安全测试指南 (MASTG) 的重要信息。

• MASTG 制品范围和目的：MASTG 的每个新版本都将包含一系列测试资源，例如静态应用程序安全测试 (SAST) 规则、动态应用程序安全测试 (DAST) 脚本和其他相关制品。 但是，必须了解这些资源并非旨在为您的所有安全测试需求提供全面的解决方案。

• 基线：MASTG 中提供的资源用作基线或起点。 它们旨在用作移动应用程序安全领域的参考和学习工具。 虽然它们提供了有价值的见解和指南，但应将其用作您可以构建和定制自己的特定自动化和安全测试流程的基础。

• 不保证完全覆盖：OWASP 移动应用程序安全 (MAS) 项目，即 MASTG 背后的实体，明确不承担责任或保证提供的代码和资源将识别移动应用程序中的所有可能漏洞。 安全测试是一个复杂且不断发展的领域，任何一组工具或规则的有效性都取决于许多因素，包括被测应用程序的特定环境、测试人员的经验以及不断变化的安全威胁形势。

• 误报和漏报的可能性：MASTG 的用户应该意识到，测试资源可能会产生大量的误报（错误地将非问题识别为漏洞）和漏报（未能检测到实际漏洞）。 必须以批判性和知情的态度对待结果，并使用手动审查和分析来补充自动化测试。

• 持续学习和适应：移动应用程序安全领域在不断发展。 因此，MASTG 资源应被视为一个活生生的知识体系，会进行更新和改进。 鼓励用户随时了解最新的安全趋势和技术，并积极为这些资源的发展做出贡献。

通过使用 MASTG，您承认并同意这些限制。 建议将使用 MASTG 资源与其他安全实践和工具结合使用，以便为您的移动应用程序实现更全面有效的安全测试策略。