3. В этом докладе
2/18
Небезопасное хранение данных
Недостаточная защита каналов передачи
данных
Слабая авторизация и аутентификация
Небезопасное управление сессиями
9. Защита от уязвимостей
8/18
• Не хранить данные на SD карте
• Выключить логирование
• Настраивайте права доступа с учетом того,
что пользователь может пользоваться
телефоном с Root правами или с
джйлбрейком
• Просмотрите конфигурационные файлы
вашего приложения на предмет забытых
данных.
11. Шифрование
10/18
– Проверка трафика мобильного приложения
– Использовать сертификаты, подписанные
доверенными центрами.
– При использовании контент-провайдеров
проверять и прописывать права доступа
13. Weak Authorization
12/18
• Анонимная работа с приложением
• Использование пользователей с низким
уровнем привилегий для получения данных
доступных всем пользователям
• Слабые пароли
14. Защита от уязвимости
13/18
• Аутентификация в мобильном приложении
должна соответствовать таковой в web
версии
• Локальная аутентификация должна работать
через куки после того как пользователь был
авторизован через сервер
• Запрет анонимной работы
• Введение проверки прав пользователя
• Сложные пароли
15. Improper Session Handling
14/18
Механизм переключения состояний:
• Смена анонимного пользователя на
зарегистрированного
• Переключение между зарегистрированными
пользователями
• Переключение между пользователями с разными
правами доступа
Токен должен уничтожаться на сервере.
Куки должны быть невалидны.
16. Время жизни сессии
15/18
Долгое время жизни сессии
• 15 минут для приложений с высоким уровнем
безопасности
• 30 минут для приложений среднего уровня
безопасности
• 1 час для остальных