MASTG-TEST-0004: 确定是否通过嵌入式服务与第三方共享敏感数据
此测试即将更新
此测试目前可使用,但将作为新的 OWASP MASTG v2 指南 的一部分进行全面修订。
帮助我们,提交一个关于此的 PR:MASTG v1->v2 MASTG-TEST-0004:确定是否通过嵌入式服务与第三方共享敏感数据(android)
概述¶
静态分析¶
为了确定第三方库提供的 API 调用和函数是否按照最佳实践使用,请审查其源代码、请求的权限并检查任何已知的漏洞。
所有发送给第三方服务的数据都应匿名化,以防止暴露 PII(个人身份信息),这些信息会允许第三方识别用户帐户。不应向第三方发送其他数据(例如可以映射到用户帐户或会话的 ID)。
动态分析¶
检查所有对外部服务的请求中是否嵌入了敏感信息。 要拦截客户端和服务器之间的流量,您可以通过启动中间人(MITM)攻击来进行动态分析,可以使用 Burp Suite 或 ZAP。 一旦你将流量路由通过拦截代理,你可以尝试嗅探应用程序和服务器之间传递的流量。 所有未直接发送到主函数所在服务器的应用程序请求都应检查敏感信息,例如跟踪器或广告服务中的 PII。