MASVS-RESILIENCE:防止逆向工程和篡改¶
诸如代码混淆、反调试、防篡改等深度防御措施对于增强应用程序抵御逆向工程和特定客户端攻击的弹性至关重要。 它们为应用程序添加了多层安全控制,使攻击者更难成功进行逆向工程并从中提取有价值的知识产权或敏感数据,这可能导致
- 盗窃或泄露有价值的商业资产,例如专有算法、商业秘密或客户数据
- 因收入损失或法律诉讼而造成的重大财务损失
- 因违反合同或法规而造成的法律和声誉损害
- 因负面宣传或客户不满而对品牌声誉造成的损害
此类别中的控制旨在确保应用程序在受信任的平台上运行,防止运行时篡改并确保应用程序预期功能的完整性。 此外,这些控制措施通过使静态分析难以弄清楚应用程序的工作方式来阻碍理解,并阻止可能允许攻击者在运行时修改代码的动态分析和工具。
但请注意,**缺少任何这些措施不一定会导致漏洞** - 相反,它们提供了额外的特定于威胁的保护。 **所有应用程序还必须根据其特定的威胁模型满足 OWASP MASVS 的其余安全控制要求**。
控制项¶
| ID | 控制 |
|---|---|
| MASVS-韧性-1 | 应用程序验证平台的完整性。 |
| MASVS-韧性-2 | 应用程序实施防篡改机制。 |
| MASVS-韧性-3 | 应用程序实施反静态分析机制。 |
| MASVS-韧性-4 | 应用程序实施反动态分析技术。 |