OWASP MASVS/MSTG 簡介-Part II
Published in
3 min readMay 8, 2020
本篇簡介一下MASVS的分類和綱要,MASVS共分為8大類(V1~V8),合計共有84項安全驗證準則[註]。
- V1:架構、設計、威脅模型分析準則(Architecture, Design and Threat Modeling Requirements),共12項。與SSDLC密切相關的要求,涵蓋威脅模型分析、安全控制、密鑰管理...等主題,是唯一沒有對應到MSTG的類別,執行上要考量OWASP的其他項目和標準,例如:OWASP Mobile Top 10、Security Architecture Cheat-sheet、OWASP Threat Modeling、OWASP SSDLC Cheat-sheet、NIST SP 800–57…等。
- V2:資料存儲和隱私要求(Data Storage and Privacy Requirements),共15項。保護安全敏感性資料是行動應用App安全的重點,遵循這些規則可以防止大部分資料洩漏的問題。
- V3:加密要求(Cryptography Requirements),共6項。加密是保護行動應用App上的重要因素,本類別檢驗行動應用App是否有遵循最佳實踐正確的使用加密函式。
- V4:身份驗證和對談管理準則(Authentication and Session Management Requirements),共12項。登錄遠端服務的用戶往往是整個行動應用App架構的一部份,本類別定義了有關用戶的授權管理、和Session的一些基本要求。
- V5:網路通訊規範(Network Communication Requirements),共6項。本類別規範行動應用App與遠端伺服器之間交換訊息的機密性與完整性。
- V6:平台互動規範(Platform Interaction Requirements),共11項。本類別定義了行動應用App應確保以安全的方式使用平台API和標準元件,並涵蓋IPC之間的通訊。
- V7: 程式碼品質與建立設定要求(Code Quality and Build Setting Requirements),共9項。此類別確保實作編程實應遵循一些基本安全程式開發的準則。
- V8:彈性準則(Resilience Requirements):共13項。本類別用以增加逆向工程及特定使用者從用戶端對行動應用App攻擊的彈性,用以抵擋來自用戶端的威脅。其中又分為抵禦動態分析和竄改、裝置綁定、防止洩漏、防止竊聽等子項目。
[註]:撰寫本文時的MASVS的最新版本為V1.2版,官方仍持續更新中,分類項目與數量可能有所增修。
