移动应用安全弱点枚举 (MASWE)

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

关于 MASWE

移动应用安全弱点枚举 (MASWE) 是移动应用中常见安全和隐私弱点的列表。它旨在作为开发人员、安全研究人员和安全专业人员的参考。它充当 MASVS 和 MASTG 之间的桥梁。

其定义借鉴了 通用弱点枚举 (CWE)，这是一个由社区开发的常见软件安全弱点列表。MASWE 旨在作为 **CWE 的补充列表**，专门关注移动应用中的安全弱点。

**弱点**是可能被引入移动应用中的安全或隐私问题。弱点根据 MASVS 的类别和控制措施进行分类。例如，与使用不安全随机数生成器相关的弱点被归类到 MASVS-CRYPTO-1 控制措施下。

每个弱点包含以下信息

• **概述**：弱点的简要描述。
• **影响**：弱点对应用安全或隐私的潜在影响。
• **引入方式**：弱点可能被引入应用的方式。
• **缓解措施**：缓解该弱点的建议。

**“弱点与漏洞”**：需要注意的是，**弱点不是漏洞**，但它可能导致漏洞的引入。根据 CWE，弱点是软件、固件、硬件或服务组件中的一种状况，在某些情况下可能导致漏洞的引入。而漏洞是软件、固件、硬件或服务组件中由于弱点而导致的一个缺陷，可以被利用，对受影响组件的机密性、完整性或可用性造成负面影响。

ID	标题	平台	MASVS v2 ID	L1	L2	R	P	状态
MASWE-0096	数据通过加密连接未加密发送	platform:android platform:ios	MASVS-韧性-3			profile:R		placeholderstatus:placeholder
MASWE-0105	应用资源完整性未验证	platform:android platform:ios	MASVS-韧性-2			profile:R		placeholderstatus:placeholder
MASWE-0104	应用完整性未验证	platform:android platform:ios	MASVS-韧性-2			profile:R		placeholderstatus:placeholder
MASWE-0102	动态分析工具检测未实现	platform:android platform:ios	MASVS-韧性-4			profile:R		placeholderstatus:placeholder
MASWE-0099	模拟器检测未实现	platform:android platform:ios	MASVS-韧性-1			profile:R		placeholderstatus:placeholder
MASWE-0091	反混淆技术未实现	platform:android platform:ios	MASVS-韧性-3			profile:R		placeholderstatus:placeholder
MASWE-0094	非生产资源未移除	platform:android platform:ios	MASVS-韧性-3			profile:R		placeholderstatus:placeholder
MASWE-0103	RASP 技术未实现	platform:android platform:ios	MASVS-韧性-4			profile:R		placeholderstatus:placeholder
MASWE-0092	静态分析工具未被阻止	platform:android platform:ios	MASVS-韧性-3			profile:R		placeholderstatus:placeholder
MASWE-0093	调试符号未移除	platform:android platform:ios	MASVS-韧性-3			profile:R		placeholderstatus:placeholder
MASWE-0107	运行时代码完整性未验证	platform:android platform:ios	MASVS-韧性-2			profile:R		placeholderstatus:placeholder
MASWE-0097	Root/越狱检测未实现	platform:android platform:ios	MASVS-韧性-1			profile:R		placeholderstatus:placeholder
MASWE-0101	调试器检测未实现	platform:android platform:ios	MASVS-韧性-4			profile:R		placeholderstatus:placeholder
MASWE-0100	设备认证未实现	platform:android platform:ios	MASVS-韧性-1			profile:R		placeholderstatus:placeholder
MASWE-0095	禁用安全控制的代码未移除	platform:android platform:ios	MASVS-韧性-3			profile:R		placeholderstatus:placeholder
MASWE-0008	缺少设备安全锁定验证实现	platform:android platform:ios	MASVS-韧性-1		profile:L2			placeholderstatus:placeholder
MASWE-0089	代码混淆未实现	platform:android platform:ios	MASVS-韧性-3			profile:R		placeholderstatus:placeholder
MASWE-0106	官方商店验证未实现	platform:android platform:ios	MASVS-韧性-2			profile:R		placeholderstatus:placeholder
MASWE-0098	应用虚拟化环境检测未实现	platform:android platform:ios	MASVS-韧性-1			profile:R		placeholderstatus:placeholder
MASWE-0090	资源混淆未实现	platform:android platform:ios	MASVS-韧性-3			profile:R		placeholderstatus:placeholder
MASWE-0112	数据收集声明不足	platform:android platform:ios	MASVS-隐私-3				profile:P	newstatus:new
MASWE-0115	用户同意机制不充分或模糊	platform:android platform:ios	MASVS-隐私-4				profile:P	newstatus:new
MASWE-0109	缺少匿名化或假名化措施	platform:android platform:ios	MASVS-隐私-2				profile:P	newstatus:new
MASWE-0110	使用唯一标识符进行用户跟踪	platform:android platform:ios	MASVS-隐私-2				profile:P	newstatus:new
MASWE-0113	缺乏适当的数据管理控制	platform:android platform:ios	MASVS-隐私-4				profile:P	newstatus:new
MASWE-0111	隐私政策不充分	platform:android platform:ios	MASVS-隐私-3				profile:P	newstatus:new
MASWE-0108	网络流量中的敏感数据	platform:android platform:ios	MASVS-隐私-1				profile:P	newstatus:new
MASWE-0117	权限管理不充分	platform:android platform:ios	MASVS-隐私-1				profile:P	newstatus:new
MASWE-0114	数据可见性控制不充分	platform:android platform:ios	MASVS-隐私-4				profile:P	newstatus:new
MASWE-0087	不安全解析和转义	platform:android platform:ios	MASVS-代码-4		profile:L2			placeholderstatus:placeholder
MASWE-0083	用户界面数据处理不安全	platform:android platform:ios	MASVS-代码-4	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0082	本地存储数据处理不安全	platform:android platform:ios	MASVS-代码-4	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0085	不安全动态代码加载	platform:android platform:ios	MASVS-代码-4		profile:L2			placeholderstatus:placeholder
MASWE-0077	未确保在最新平台版本上运行	platform:android platform:ios	MASVS-代码-1		profile:L2			placeholderstatus:placeholder
MASWE-0078	未针对最新平台版本	platform:android platform:ios	MASVS-代码-1		profile:L2			placeholderstatus:placeholder
MASWE-0075	强制更新未实现	platform:android platform:ios	MASVS-代码-2		profile:L2			placeholderstatus:placeholder
MASWE-0076	存在已知漏洞的依赖项	platform:android platform:ios	MASVS-代码-3	profile:L1	profile:L2			newstatus:new
MASWE-0086	SQL 注入	platform:android platform:ios	MASVS-代码-4	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0079	网络数据处理不安全	platform:android platform:ios	MASVS-代码-4	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0081	外部接口数据处理不安全	platform:android platform:ios	MASVS-代码-4	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0088	不安全对象反序列化	platform:android platform:ios	MASVS-代码-4		profile:L2			placeholderstatus:placeholder
MASWE-0116	未使用编译器提供的安全特性	platform:android platform:ios	MASVS-代码-3		profile:L2			placeholderstatus:placeholder
MASWE-0080	备份数据处理不安全	platform:android platform:ios	MASVS-代码-4	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0084	IPC 数据处理不安全	platform:android platform:ios	MASVS-代码-4	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0051	未受保护的开放端口	platform:android platform:ios	MASVS-网络-1		profile:L2			newstatus:new
MASWE-0047	不安全身份固定	platform:android platform:ios	MASVS-网络-2		profile:L2			newstatus:new
MASWE-0052	不安全证书验证	platform:android platform:ios	MASVS-网络-1	profile:L1	profile:L2			newstatus:new
MASWE-0049	未使用经验证的网络 API	platform:android platform:ios	MASVS-网络-1		profile:L2			newstatus:new
MASWE-0048	不安全的机器到机器通信	platform:android platform:ios	MASVS-网络-1	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0050	明文流量	platform:android platform:ios	MASVS-网络-1	profile:L1	profile:L2			newstatus:new
MASWE-0055	敏感数据通过屏幕截图泄露	platform:android platform:ios	MASVS-平台-3		profile:L2			placeholderstatus:placeholder
MASWE-0065	敏感数据与其它应用永久共享	platform:android	MASVS-平台-1	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0056	覆盖劫持攻击	platform:android platform:ios	MASVS-平台-3		profile:L2			placeholderstatus:placeholder
MASWE-0053	敏感数据通过用户界面泄露	platform:android platform:ios	MASVS-平台-3		profile:L2			placeholderstatus:placeholder
MASWE-0073	不安全 WebResourceResponse 实现	platform:android	MASVS-平台-2		profile:L2			placeholderstatus:placeholder
MASWE-0061	应用扩展的不安全使用	platform:ios	MASVS-平台-1	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0058	不安全深度链接	platform:android platform:ios	MASVS-平台-1	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0071	WebView 从不受信任来源加载内容	platform:android platform:ios	MASVS-平台-2	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0060	UIActivity 的不安全使用	platform:ios	MASVS-平台-1	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0074	Web 内容调试已启用	platform:android platform:ios	MASVS-平台-2		profile:L2			placeholderstatus:placeholder
MASWE-0063	不安全广播接收器	platform:android	MASVS-平台-1	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0062	不安全服务	platform:android	MASVS-平台-1	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0067	可调试标志未禁用	platform:android platform:ios	MASVS-韧性-4			profile:R		newstatus:new
MASWE-0069	WebView 允许访问本地资源	platform:android platform:ios	MASVS-平台-2	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0064	不安全内容提供者	platform:android	MASVS-平台-1	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0057	StrandHogg 攻击 / 任务亲和性漏洞	platform:android	MASVS-平台-3	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0059	未认证平台 IPC 的使用	platform:android platform:ios	MASVS-平台-1	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0070	从不受信任来源加载 JavaScript	platform:android platform:ios	MASVS-平台-2	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0066	不安全 Intent	platform:android	MASVS-平台-1	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0054	敏感数据通过通知泄露	platform:android platform:ios	MASVS-平台-3		profile:L2			placeholderstatus:placeholder
MASWE-0068	WebView 中的 JavaScript 桥	platform:android platform:ios	MASVS-平台-2	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0072	通用 XSS	platform:android platform:ios	MASVS-平台-2	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0006	敏感数据未加密存储在私有存储位置	platform:android platform:ios	MASVS-存储-1		profile:L2			newstatus:new
MASWE-0002	敏感数据在内部位置存储时访问限制不足	platform:android	MASVS-存储-2	profile:L1	profile:L2			placeholderstatus:placeholder
MASWE-0001	敏感数据写入日志	platform:android platform:ios	MASVS-存储-2	profile:L1	profile:L2		profile:P	newstatus:new
MASWE-0004	敏感数据未从备份中排除	platform:android platform:ios	MASVS-存储-2	profile:L1	profile:L2		profile:P	newstatus:new
MASWE-0003	备份未加密	platform:android	MASVS-存储-2		profile:L2			placeholderstatus:placeholder
MASWE-0007	敏感数据未加密存储在无需用户交互的共享存储中	platform:android	MASVS-存储-1	profile:L1	profile:L2			newstatus:new
MASWE-0046	新生物识别注册时加密密钥未失效	platform:android platform:ios	MASVS-认证-2		profile:L2			placeholderstatus:placeholder
MASWE-0030	未在上下文状态变化时触发重新认证	platform:android platform:ios	MASVS-认证-3		profile:L2			占位符status:占位符
MASWE-0005	API 密钥硬编码在应用程序包中	platform:android platform:ios	MASVS-认证-1	profile:L1	profile:L2			newstatus:new
MASWE-0045	敏感交易允许回退到非生物识别凭证	platform:android platform:ios	MASVS-认证-2		profile:L2			占位符status:占位符
MASWE-0032	未使用的平台提供身份验证 API	platform:android platform:ios	MASVS-认证-1		profile:L2			占位符status:占位符
MASWE-0035	未实现无密码身份验证	platform:android platform:ios	MASVS-认证-1		profile:L2			占位符status:占位符
MASWE-0042	仅在本地而非服务器端强制执行授权	platform:android platform:ios	MASVS-认证-2	profile:L1	profile:L2			占位符status:占位符
MASWE-0039	未实现共享网络凭证和网站关联	platform:android platform:ios	MASVS-认证-1		profile:L2			占位符status:占位符
MASWE-0034	不安全的凭证确认实现	platform:android	MASVS-认证-2		profile:L2			已弃用status:已弃用
MASWE-0043	应用自定义 PIN 未绑定到平台密钥库	platform:android platform:ios	MASVS-认证-2		profile:L2			占位符status:占位符
MASWE-0041	仅在本地而非服务器端强制执行身份验证	platform:android platform:ios	MASVS-认证-2	profile:L1	profile:L2			占位符status:占位符
MASWE-0038	身份验证令牌未经验证	platform:android platform:ios	MASVS-认证-1	profile:L1	profile:L2			占位符status:占位符
MASWE-0029	登录后未实现升级身份验证	platform:android platform:ios	MASVS-认证-3		profile:L2			占位符status:占位符
MASWE-0031	不安全地使用 Android 受保护确认	platform:android	MASVS-认证-3		profile:L2			占位符status:占位符
MASWE-0033	未遵循身份验证或授权协议安全最佳实践	platform:android platform:ios	MASVS-认证-1		profile:L2			占位符status:占位符
MASWE-0036	身份验证材料未加密存储在设备上	platform:android platform:ios	MASVS-认证-1	profile:L1	profile:L2			占位符status:占位符
MASWE-0037	身份验证材料通过不安全连接发送	platform:android platform:ios	MASVS-认证-1	profile:L1	profile:L2			占位符status:占位符
MASWE-0040	WebViews 中的不安全身份验证	platform:android platform:ios	MASVS-认证-1	profile:L1	profile:L2			占位符status:占位符
MASWE-0028	未遵循 MFA (多因素身份验证) 实现最佳实践	platform:android platform:ios	MASVS-认证-3		profile:L2			占位符status:占位符
MASWE-0044	生物识别身份验证可被绕过	platform:android platform:ios	MASVS-认证-2		profile:L2			占位符status:占位符
MASWE-0013	使用硬编码的加密密钥	platform:android platform:ios	MASVS-加密-2					已弃用status:已弃用
MASWE-0022	可预测的初始化向量 (IV)	platform:android platform:ios	MASVS-加密-1	profile:L1	profile:L2			占位符status:占位符
MASWE-0012	不安全或错误地使用加密密钥	platform:android platform:ios	MASVS-加密-2		profile:L2			占位符status:占位符
MASWE-0015	已弃用的 Android KeyStore 实现	platform:android	MASVS-加密-2		profile:L2			占位符status:占位符
MASWE-0027	不当的随机数生成	platform:android platform:ios	MASVS-加密-1	profile:L1	profile:L2			newstatus:new
MASWE-0010	不当的加密密钥派生	platform:android platform:ios	MASVS-加密-2	profile:L1	profile:L2			占位符status:占位符
MASWE-0021	不当的哈希处理	platform:android platform:ios	MASVS-加密-1	profile:L1	profile:L2			占位符status:占位符
MASWE-0011	未实现加密密钥轮换	platform:android platform:ios	MASVS-加密-2		profile:L2			占位符status:占位符
MASWE-0019	高风险的密码学实现	platform:android platform:ios	MASVS-加密-1		profile:L2			newstatus:new
MASWE-0025	不当的加密签名生成	platform:android platform:ios	MASVS-加密-1	profile:L1	profile:L2			占位符status:占位符
MASWE-0018	加密密钥访问未受限制	platform:android platform:ios	MASVS-加密-2		profile:L2			占位符status:占位符
MASWE-0016	导入的加密密钥处理不安全	platform:android platform:ios	MASVS-加密-2		profile:L2			占位符status:占位符
MASWE-0023	高风险填充	platform:android platform:ios	MASVS-加密-1	profile:L1	profile:L2			newstatus:new
MASWE-0026	不当的加密签名验证	platform:android platform:ios	MASVS-加密-1	profile:L1	profile:L2			占位符status:占位符
MASWE-0020	不当的加密	platform:android platform:ios	MASVS-加密-1	profile:L1	profile:L2			newstatus:new
MASWE-0017	加密密钥导出时未得到适当保护	platform:android platform:ios	MASVS-加密-2		profile:L2			占位符status:占位符
MASWE-0009	不当的加密密钥生成	platform:android platform:ios	MASVS-加密-2	profile:L1	profile:L2			newstatus:new
MASWE-0014	加密密钥在静态存储时未得到适当保护	platform:android platform:ios	MASVS-加密-2	profile:L1	profile:L2			newstatus:new
MASWE-0024	不当使用消息认证码 (MAC)	platform:android platform:ios	MASVS-加密-1	profile:L1	profile:L2			占位符status:占位符