跳过内容

博客

  • 3分钟阅读

Guardsquare 荣获 MAS 倡导者地位

我们非常高兴地宣布 Guardsquare 已正式被授予 MAS 倡导者地位,这是 OWASP 移动应用安全(MAS)项目中可能获得的最高认可

这一地位并非轻易授予。它专为那些在持续一段时间内展示出持续、高影响力贡献的组织而保留,这些组织不仅投入技术资源,还对 OWASP MAS 项目倾注了真正的承诺和热情,超越了偶尔的贡献,正如我们官方指南中所述。MAS 倡导者之路至少需要六个月经证实的、有影响力的支持,而实际上,根据贡献的范围和深度,通常需要更长时间。

Guardsquare 的承诺

自2023年2月7日提出申请以来,Guardsquare 持续满足并多次超越我们的期望。虽然 MAS 倡导者流程要求至少六个月的持续参与,但他们的旅程远不止于此,这反映了他们贡献的深度、一致性和影响力。

Guardsquare 参与的一些亮点包括:

  • 积极参与 MAS 工作组: Guardsquare 持续参加我们的每月例会,提出想法、提出问题并积极推动核心倡议。
  • 持续、高价值的贡献: 包括大量拉取请求,其中许多专注于将 v1 测试移植到 v2,并且总是附带完整的演示和文档。
  • 同行评审和思想领导: 对拉取请求和问题提供深入、可操作的反馈,帮助维护 MASTG 的质量和完整性以及向 v2 的宏大重构。

他们的参与在 2024年11月 OWASP 项目峰会期间达到了一个重要的里程碑。这次为期五天的活动汇集了来自全球的移动安全专家。在峰会期间创建的约40个拉取请求中,大部分是由 Guardsquare 团队贡献的:Dennis Titze、Jan Seredynski、Nuno Antunes 和 Pascal Jungblut

他们为何承诺,以及为何这很重要

我们询问了 Guardsquare 团队他们为何决定承诺 OWASP MAS。以下是他们所说的:

“我们认识到,传统的应用程序安全标准缺乏与移动应用程序架构相关的精确性和细微差别。我们认为 OWASP MAS 项目通过为移动开发团队提供更具体和可操作的应用程序安全指导,正朝着正确的方向前进。”——Ryan Lloyd

双赢局面

他们的贡献不仅使 OWASP MAS 项目及其社区受益,而且还直接影响了 Guardsquare 自己的团队和产品

“我们的参与提高了人们对移动应用安全的认识,这仍然是一个常常被忽视的问题。通过基于标准的方法,我们正在帮助将重要的安全主题推向前端,这反过来又激发了对我们解决方案的更多兴趣。”——Ryan Lloyd

除了组织利益之外,参与 MAS 对个人贡献者来说也是一次有益的经历

“这个项目真正扩展了我的安全视角。我以前主要关注逆向工程和弹性,但这项努力把我推向了新的领域,比如 MASVS-STORAGE 类别,这加深了我对移动应用如何处理敏感数据的理解。”——Jan Seredynski

“这个项目给了我与来自不同背景的人建立联系的机会,激发了关于安全实施实践的动态对话。看到标准因这些合作而发展,我感到非常有益。”——Dennis Titze

可供他人效仿的典范

Guardsquare 的旅程是公司如何有意义地参与开放安全标准的蓝图。他们的承诺,持续到2025年及以后,树立了一个强大的榜样。

“移动应用安全领域受益于多样化的视角。通过扩大贡献基础,我们可以为社区提供的资源提供更深的深度和广度,并更快地实现 MASVS/MASTG 彻底重构的目标。”——Ryan Lloyd

我们希望其他人也能效仿。他们的故事展示了当一家公司投入时间、人才和心血来改善移动应用安全状况时可能发生的事情。

准备好加入了吗?

如果您的组织对移动安全充满热情并准备好产生真正的影响,请考虑加入 MAS 工作组。无论您是贡献测试、评审拉取请求,还是帮助塑造下一代标准,这里都有您的位置。

您可以在我们的网站上阅读更多关于 MAS 倡导者地位和我们的其他贡献者的信息。

再次祝贺 Guardsquare,我们很荣幸能有您作为 MAS 倡导者加入!

  • 7分钟阅读

庆祝 NowSecure 成为 OWASP MAS 倡导者三周年

NowSecure 与 OWASP 移动应用安全(MAS)项目之间的合作一样,具有影响力的合作伙伴关系屈指可数。今天,当我们庆祝 NowSecure 成为 OWASP MAS 倡导者三周年之际,我们回顾了一段以创新、协作和持续改进为标志的旅程,这段旅程为未来的行业合作树立了典范。

成为一名 MAS 倡导者意味着要做出高影响力的贡献。NowSecure 始终如一地做到了这一点,投入了关键专家(特别是项目负责人 Carlos Holguera)的专属时间,并在需要时提供了额外的支持。

GitHub 讲述了一个引人入胜的故事,关于 NowSecure 在过去三年中参与 OWASP MAS 项目的情况:

  • 320+ 个拉取请求
  • 230+ 次评审
  • 42,000+ 行新增代码
  • 29,500+ 行删除代码

这些数字不仅仅反映了活动,它们还展示了领导力。NowSecure 通过贡献有价值的内容、评审社区提交以及维护项目的整体清晰度和质量,显著增强了 OWASP MAS 的资源。

但不仅仅是数字。NowSecure 一直是 OWASP MAS 项目发展背后的驱动力,提供了战略见解、技术专业知识以及对卓越的承诺,塑造了我们的方向和影响力。下面,我们回顾了过去几年中的关键里程碑和贡献,这个时间表突出了 NowSecure 在 MAS 项目发展的每一步中所发挥的重要作用。

从 MSTG 到 OWASP MAS 的品牌重塑

2022年8月,我们宣布了项目品牌重塑,该项目以前被称为“OWASP 移动安全测试指南(MSTG)”项目。新的名称 OWASP 移动应用安全(MAS)更好地反映了我们项目的完整范围,从 MAS 验证标准(MASVS)和 MAS 测试指南(MASTG)到检查清单和破解练习。以及后来的移动应用安全漏洞枚举(MASWE)。

NowSecure 提供了战略性见解和行业视角,帮助澄清了项目的范围和信息传递。他们的早期反馈确保了新品牌不仅与社区产生共鸣,而且为未来的增强设定了明确的方向。

MASVS v2.0.0 发布

2023年4月,MASVS v2.0.0 发布,这是重新定义移动应用安全标准的一个重要里程碑。此次发布引入了关键改进:

  • 抽象与简化: 移除了冗余控制,使 MASVS 对开发人员更易于接近。
  • 通过标准化提高清晰度: 利用并参考成熟的标准,确保我们的控制措施清晰且可操作。
  • 引入 MAS 测试配置文件: 从之前的“级别”过渡到新的“配置文件”,允许在实际场景中进行更具针对性的评估。

NowSecure 在开发过程中的技术专业知识和持续反馈至关重要。他们的实际测试场景和对拟议变更的严格审查帮助塑造了一个真正满足现代移动应用安全专业人员需求的标准。

MASTG 重构第一部分:测试配置文件和原子测试

2023年7月,我们宣布了 MASTG 重构的第一阶段,包括:

  • 新的 MAS 测试配置文件: 用基于真实场景的“配置文件”取代传统的验证级别。这一变化允许进行更具针对性的评估,使理解每个测试的上下文和适用性变得更容易。
  • 原子测试: 将大型测试分解为更小、独立的单元,减少了歧义并提高了可追溯性。

在此过程中,NowSecure 的深入技术评审和试点测试非常宝贵。他们乐于尝试重构测试的早期版本,确保了新结构既健壮又适用于实际应用,最终提高了 MASTG 的整体质量和一致性。

MASTG 重构第二部分 - 模块化框架

2023年9月下旬,我们宣布了 MASTG 重构的第二阶段,重点关注模块化方法:

  • 该指南被重新组织成不同的组件——测试、技术、工具和应用程序——使其更容易查找和引用特定内容。
  • 这种模块化增强了整体框架的交叉引用和可维护性。

NowSecure 对模块化过程提供了关键反馈,并实施了新结构。他们对安全专业人员如何与 MASTG 交互的见解帮助塑造了一个更用户友好和高效的资源。

引入 MASVS-PRIVACY

2023年10月标志着我们范围的重大扩展,引入了 MASVS-PRIVACY 作为一个提案,该提案在经过社区和行业范围的彻底审查后,于2024年1月发布到 MASVS v2.1.0 中。

NowSecure 在移动安全和隐私问题方面的领导作用是这一补充的驱动力。他们对隐私问题的积极立场以及处理数据保护挑战的实践经验,有助于塑造一个能够满足现代隐私需求的强大基线。

MAS 工作组

2024年2月,我们启动了 MAS 工作组,这是一个由移动安全专家组成的专门小组,每月开会,推动 MAS 项目路线图向前发展。他们的工作包括管理 GitHub 问题、完善新的 MAS 配置文件和风险、分配任务以及开发适用于 Android 和 iOS 的易受攻击代码片段。目前,该小组专注于将 V1 测试移植到 V2,为 MASTG V2 做准备。

NowSecure 的持续支持在实现这一倡议中发挥着关键作用。通过允许 Carlos Holguera 投入时间和专业知识来领导这项工作,工作组保持了强劲的势头。凭借技术深度和战略方向的结合,Carlos 帮助小组有效地确定了优先级,并以一致性和清晰度推动 MAS 项目向前发展。

新的 MAS 测试应用和标准化演示

2024年5月,我们发布了适用于 Android 和 iOS 的新 MAS 测试应用,旨在促进动手学习和测试。这些应用程序包括:

  • 骨架应用:Android 和 iOS 的基本框架,允许用户探索和验证安全场景。
  • 代码示例:嵌入在应用程序中,这些示例演示了移动应用安全中的最佳(和最差)实践以及常见陷阱。
  • 构建自动化:利用 GitHub Actions,我们自动化了这些演示的构建和 MASTG 集成过程,确保它们保持最新和功能正常。

NowSecure 在移动应用安全测试方面的专业知识在这些测试应用的开发中是无价的。他们对实际漏洞的洞察以及处理移动安全挑战的实践经验,帮助塑造了应用程序的设计和功能,确保它们对用户而言既实用又有效。

引入 OWASP MASWE

2024年7月引入了移动应用安全漏洞枚举 (MASWE)

  • MASWE 弥合了高层 MASVS 控制与详细 MASTG 测试之间的差距。
  • 它提供了特定漏洞的详细视图,增强了从需求到单个测试用例的可追溯性。

NowSecure 对 MASWE 早期草稿的全面审查和详细反馈至关重要。他们能够精确找出实际漏洞并提出可操作的改进建议,帮助将 MASWE 打造成一个补充 MASVS 和 MASTG 的工具,确保我们的框架保持整体性和对新出现的威胁的响应能力。

OWASP 项目峰会 2024

2024年11月,我们举办了 OWASP 项目峰会,NowSecure 主导了移动应用安全轨道。这次为期五天的活动汇集了来自不同公司的专家,讨论移动安全的未来,分享见解,并协作开发创新解决方案。峰会期间,创建了大约40个拉取请求,并举行了无数次讨论。

NowSecure 通过审查贡献和推动技术讨论发挥了关键作用,确保所产生的想法是可行的,并符合项目目标。在 Carlos Holguera 的领导下,他帮助组织和指导该轨道,NowSecure 营造了一个协作和知识共享的环境——为未来的 OWASP 活动树立了高标准。

展望未来

在我们庆祝这项为期三年的合作之际,我们对未来充满期待。这些贡献不仅仅是里程碑,它们是未来的基石。感谢社区的大力支持、持续的倡导以及像 NowSecure 这样的组织的热情,MAS 项目的未来章节有望在未来几年带来更大的创新和影响力。

我们邀请您与我们一起踏上这段旅程,分享您的见解,并为塑造移动安全的未来贡献力量。

感谢 NowSecure,您是卓越的灯塔,也是我们全球移动应用安全使命中值得信赖的合作伙伴。

  • 6分钟阅读

推出新的移动应用安全漏洞枚举 (MASWE)

OWASP MAS 项目继续引领移动应用安全领域,为开发人员和安全专业人员提供强大且最新的资源。我们的团队一直与 MAS 社区和行业勤奋合作,重构 移动应用安全验证标准 (MASVS)移动应用安全测试指南 (MASTG)。在这篇博客文章中,我们将向您介绍 MAS 项目的最新成员:全新的 移动应用安全漏洞枚举 (MASWE)

重构 MASTG

我们于2021年开始重构过程,首先关注 MASVS,然后是 MASTG。我们的主要目标是将 MASTG v1 拆分为模块化组件,包括测试、技术、工具和应用程序。

这种模块化方法使我们能够独立维护和更新每个组件,确保 MASTG 保持最新和相关。例如,在我们之前的结构中,MASTG 包含在一个 Markdown 文件中的大型测试用例。这不仅难以维护,而且难以引用特定测试;并且无法为每个测试添加元数据。

新的结构将测试分为独立页面(带有元数据的 Markdown 文件),每个页面都有自己的 ID (MASTG-TEST-****) 并链接到相关技术 (MASTG-TECH-****) 和工具 (MASTG-TOOL-****)。这种封装确保了每个测试都易于引用并促进了所有 MAS 组件的重用。例如,您可以打开一个测试并查看正在使用的工具和技术,很快您将能够反向操作:打开一个工具或技术并查看所有使用它的测试。这种深度交叉引用在探索 MASTG 时会非常强大。

引入 MASWE

我们项目的一个重要补充是引入了 MASWE,旨在填补高层 MASVS 控制与低层 MASTG 测试之间的空白。MASWE 识别移动应用程序中的特定漏洞,类似于更广泛的软件安全行业中的常见漏洞枚举 (CWE)。这个新层提供了每个漏洞的详细描述,弥合了概念上的差距,使测试过程更加连贯。

现在 MASVS、MASWE 和 MASTG 都无缝连接。我们从高级要求开始,深入研究特定漏洞,然后低级别地进行测试并实际操作演示。工作方式如下:

  1. MASVS 控制:高级别的平台无关要求。

    例如,“应用采用当前加密技术并根据最佳实践使用它。”(MASVS-CRYPTO-1)。

  2. MASWE 漏洞:特定漏洞,通常也是平台无关的,与控制相关。

    例如,“使用可预测的伪随机数生成”(MASWE-0027)。

  3. MASTG 测试:通过执行测试来评估每个漏洞,这些测试指导测试人员使用各种工具和技术在每个移动平台上识别和缓解问题。

    例如,测试“Android 上不安全的随机 API 使用”(MASTG-TEST-0204)。

  4. MASTG 演示:包括工作代码示例和测试脚本的实际演示,以确保可重现性和可靠性。

    例如,一个使用 Java 的 Random() 而不是 SecureRandom() 的示例 (MASTG-DEMO-0007)。

实际应用和演示

为了确保我们的指南实用可靠,我们开发了适用于 Android 和 iOS 的新 MAS 测试应用。

这些简单的骨架应用程序旨在直接嵌入代码示例,允许用户验证和实验提供的演示。这种方法确保所有代码示例都功能正常且最新,从而促进动手学习体验。

例如,为了测试安全存储,MASTG-DEMO-0002 展示了如何使用 Frida 进行动态分析以识别代码中的问题。该演示包括:

  • 一个 Kotlin 代码示例(可直接复制到应用程序中并在设备上运行)
  • 使用 Frida 进行此案例的具体测试步骤
  • 包含 Frida 命令的 shell 脚本
  • 要注入的 Frida 脚本
  • 带解释的输出
  • 测试的最终评估

您可以在自己的设备上运行所有这些内容并自行验证结果!只需克隆存储库并导航到演示文件夹,在您的计算机Android 设备上安装 Frida,然后按照步骤操作。

🧪 这些演示也可以用作实验性演练场,以提高您的技能,并在您使用 MASTG 学习移动应用安全时练习不同的案例。例如,您可以尝试逆向工程应用程序,看看是否能找到与演示相同的问题,或者您可以尝试修复问题,看看是否能验证修复。

它们也非常适合高级研究人员和渗透测试人员快速验证某些场景。例如,经常会发现 Android 根据版本或制造商表现不同的情况。通过这些演示,您可以快速验证特定问题是否存在于特定设备或 Android 版本上。

使用 GitHub Actions 自动化

展望未来,我们希望自动化创建和验证新演示的过程,并确保测试随着时间的推移保持功能正常。我们将使用 GitHub Actions 来实现这一点。以下是计划:

  1. 构建应用程序:自动为 Android 和 iOS 构建 APK/IPA。
  2. 将应用程序部署到虚拟设备:在虚拟设备上安装并运行生成的应用程序。
  3. 执行测试并验证结果:使用 semgrep 或 radare2 等工具执行静态测试,并使用 Frida 和 mitmproxy 在目标设备上执行动态测试。最后,将测试结果与预期输出进行比较。

我们目前已经实施了第一步的 PoC(仅适用于 Android APK),并且正在研究后续步骤。如果您有兴趣为此做出贡献,请告诉我们

征求反馈

我们鼓励您探索新的 MASWEMASTG 测试MASTG 演示。您的见解和经验对我们来说非常宝贵,我们邀请您在我们的 GitHub 讨论区分享您的反馈,以帮助我们持续改进。通过这种方式,我们可以确保我们的资源实用、可靠且对实际应用有价值。

您也可以通过创建新的漏洞、测试、技术、工具或演示来为项目做出贡献。我们欢迎所有贡献和反馈,我们期待与您合作,使 MAS 项目达到最佳状态。

:simple-github: 访问我们的 GitHub 仓库,查看我们的 [里程碑](https://github.com/OWASP/mastg/milestones) 和 [GitHub 讨论区](https://github.com/OWASP/mastg/discussions/categories/maswe-mastg-v2-beta-Feedback)。
  • 1分钟阅读

移动应用安全交易新标准

新加坡网络安全局(CSA)于2024年1月10日发布了“安全应用标准”。该指南专为本地应用开发商和服务提供商量身定制,基于 OWASP 移动应用安全验证标准(MASVS),重点关注身份验证和授权(MASVS-AUTH)、数据存储(MASVS-STORAGE)以及防篡改(MASVS-RESILIENCE)等关键领域。该倡议旨在保护应用免受常见网络威胁,并确保用户拥有更安全的数字空间。

虽然安全应用标准在保护移动应用程序方面迈出了重要一步,但我们鼓励开发人员考虑完整的 MASVS 并选择合适的 MAS 配置文件以获得全面保护。这种全面的应用程序安全方法确保应用程序不仅满足基线要求,而且能抵御更广泛的网络威胁,为最终用户提供强大的安全保障。

  • 1分钟阅读

移动应用风险评分问答

我们收到了许多评论和出色的问题,我们已将其汇总并总结,并附上作者的回答。我们感谢所有花时间阅读文档的人,尤其是那些提出了宝贵问题的人。

请参阅移动应用风险评分问答

  • 2分钟阅读

MASVS-隐私

移动应用程序经常访问敏感用户数据以提供其核心功能。这些数据包括个人身份信息 (PII)、健康指标、位置数据和设备标识符。移动设备是用户的常伴,始终在线,并配备了众多传感器——包括摄像头、麦克风、GPS 和 BLE——这些传感器生成的数据能够推断用户行为甚至识别个人。先进的跟踪技术、第三方 SDK 的集成以及用户和监管机构对隐私问题意识的提高,使情况变得更加复杂。作为回应,设备端处理的趋势日益增长,以将用户数据本地化并使其更安全。

  • 2分钟阅读

MASTG 重构第二部分 - 技术、工具和参考应用

我们很高兴宣布 MASTG(移动应用安全测试指南)重构的第二阶段。这些更改旨在增强 MASTG 的可用性和可访问性。

此次新重构的主要重点是将 MASTG 内容重新组织成不同的组件,每个组件都位于其专用部分/文件夹中,并且现在作为我们网站上的独立页面存在(GitHub 中的 Markdown 文件,带有元数据/frontmatter)

  • 3分钟阅读

MAS 测试配置文件和 MASTG 原子测试

MASTG 重构是一项重要的升级,它解决了现有的一些挑战并引入了令人兴奋的新功能。它旨在简化合规性、简化测试并提高安全测试人员和其他利益相关者的可用性。

MAS 测试配置文件

作为 MASVS 重构的一部分,我们已将三个传统的验证级别(L1、L2 和 R)替换为 MASTG 中的安全测试配置文件。这些新配置文件旨在增强我们捕捉与移动应用程序相关的各种安全细微差别的能力,使我们能够评估同一 MASVS 控制的不同情况。例如,在 MASVS-STORAGE-1 中,对于 MAS-L1,将数据未加密存储在应用程序内部存储中是可以接受的,但 MAS-L2 要求数据加密。