MASTG-TEST-0080: 测试强制更新

此测试即将更新

此测试目前可使用，但将作为新的 OWASP MASTG v2 指南 的一部分进行全面修订。

通过提交 PR 来帮助我们：MASTG v1->v2 MASTG-TEST-0080：测试强制更新 (ios)

发送反馈

概述

静态分析

首先查看是否存在更新机制：如果尚未存在，则可能意味着无法强制用户更新。如果机制存在，请查看它是否强制“始终最新”，以及这是否确实符合业务战略。否则，检查该机制是否支持更新到给定版本。确保应用程序的每个入口都通过更新机制，以确保无法绕过更新机制。

动态分析

为了测试正确的更新：尝试从开发者发布的版本或使用第三方应用商店下载具有安全漏洞的应用程序的旧版本。接下来，验证是否可以在不更新应用程序的情况下继续使用它。如果给出更新提示，请验证是否仍然可以通过取消提示或通过正常应用程序使用来规避它来使用该应用程序。这包括验证后端是否会停止调用易受攻击的后端，以及/或者后端是否阻止易受攻击的应用版本本身。最后，尝试在使用中间人 (MITM)代理拦截其流量时修改应用程序的版本号，并观察后端如何响应（包括是否记录了更改，例如）。