iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 11
0
Security

看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!系列 第 11

Day 011. 資安檢測 (VI) 4.2.2.伺服器端安全檢測

4.1.5.檢測項目總覽

  • 4.2.2.1.Webview安全檢測 (1項)

必要檢測

4.2.2.1.2.行動應用程式於Webview呈現功能時,所連線之網域應為安全網域

行動應用程式使用 Webview 呈現功能時,所連線之網域是否為安全網域且與開發商於資料調查表中宣稱實際所連線之網域一致。

行動應用程式使用 Webview 呈現功能時,連線時是否進行憑證綁定。

行動應用程式使用 Webview 呈現功能時,是否使用 HTTPS 連線。

行動應用程式使用 Webview 呈現功能時,其伺服器弱點 掃描須驗證 Cross-Site Scripting 以及 Injection Flaws 檢查是否全數通過。

使用WebView 內容主要注意以下幾點事項:

  • URL 是否採用Https

  • 採用的憑證是否安全,像自我簽署憑證就列為不安全,要找可靠的CA憑證商申請可靠的憑證

  • 網站要經過弱點掃描,避免中間被人擷取資料

  • WebView 呼叫時不要使用容易被猜測到的 get 參數傳遞至 Webview 處理

    • https://domain.com/webview?id=a123&cost=100
      

參考項目

4.2.2.1.1.行動應用程式應使用Webview與遠端伺服器進行網頁資源交換

行動應用程式與遠端伺服器進行網頁資源交換時,若使用外部App(例如:惡意瀏覽器)可能有資料外洩或遭人竊取之疑慮,建議使用 Webview 與伺服器進行網頁資源交換

這點是列為參考檢驗項目,但無論檢查與否

不使用非原生系統的呼叫方式是保險的作法

小知識

WebView 有一種使用方式其實對服務站台和使用者都很危險,觀念有點接近 4.2.2.1.1 但使用角度立場不同

惡意App 可以做一個WebView 介面,並導向到服務登入畫面,像是 Facebook web 登入畫面, 惡意App 可以動態植入JS 程式碼至網頁頁面內,當使用者輸入帳號密碼時將會被測錄

這在iOS 跟 Android 都可以做的到,至今都還沒有辦法很好的阻攔這個問題,只能靠使用者對App的信任,所以當輸入帳號密碼的頁面是在 App 功能內時,就需要打起12萬分的小心,或者乾脆不使用這App 避免中了App 釣魚

小結

這個小結是資安檢測I - VI 全部的項目的段落小結

介紹了全部資安檢測要求事項和技術要求,並把自己一些注意事項等心得輔助說明

希望可以正直觀的讓大家認識到每個檢測項目方測方式以及目的

後續的章節來談談實際上應用要怎麼做


上一篇
Day 010. 資安檢測 (V) 4.1.5.行動應用程式碼安全
下一篇
Day 012. 網路抓包怎麼抓,何謂嗅探器 (Sniffers),為什麼要用嗅探器
系列文
看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!31

尚未有邦友留言

立即登入留言