Все, кто занимается безопасностью мобильных приложений, знают о существовании отличного гайда по тестированию - OWASP Mobile Security Testing Guide (MSTG). А также об одном из немногих стандартов для мобил - Mobile Application Security Verification Standard (MASVS). Они даже переведены на русский 😱

Сейчас создатели этих документов хотят узнать, какие компании используют их в своей работе.

Давайте поддержим их и поможем! Если в своей работе вы как-то используете материалы из проекта OWASP Mobile, напишите им :)

#OWASP #MSTG #MASVS #Guides

https://github.com/OWASP/owasp-mstg/blob/master/Users.md

Изменения в MASVS и MSTG

Не так давно прошел митап от OWASP, где обсуждались изменения и будущие улучшения в главных документах для мобилок от OWASP (стандатрте MASVS и гайду MSTG).

Обещают автоматическую генерацию чеклистов на основании MASVS, глобальную переработку структуры и контента, более прозрачную связь между этими документами.

Насколько я понял, бегло пробежав по видео - можно подискуровать и предложить что-то своё в issue на github или присоединившись в Discord.

Интересная и правильная активность, постараюсь в ближайшее время посмотреть подробнее и накидать ссылок на самые интересные изменения.

Посмотреть весь доклад можно на YouTube.

Плюсом к обсуждению переработки документов, на том же вебинаре можно посмотреть доклад Cracking Android PINs.

#owasp #masvs #mstg

Новый релиз MSTG

Быстрый анонс всем известного Mobile Security Testing Guide.
Несколько часов назад вышла новая версия этого замечательного гайда.

Пока что, всех обещанных изменений в нем нет, но какие-то первые шаги уже прослеживаются. Из глобальных изменений:
- Replace Outdated Drozer when Possible
- Update iOS Binary Protection Checks
- Add iOS Debugging Symbols Inspection
- Add APK Signature Scheme (v4) by @Saket-taneja
- Add Patching Example for Debugging iOS Apps
- Add check for JWT Claim by @Saket-taneja
- Add section Loaded Native Libraries by @cpholguera
- Add Visual Studio App Center by @anantshri
- Add Privacy Labels and Rework Privacy Chapter

Так что гайд стал чуть более актуальным :)

#owasp #mstg #release

Рефакторинг MASVS - секция CODE

Недавно я писал про планы провести глобальный "ребрендинг" и рефакторинг основных документов от OWASP для мобильных приложений. Секция про криптографию уже переработана и сейчас настала очередь рздела V7 - Code.

И надо сказать, что переделывают его неплохо, по крайней мере все спорные требования, которые было иногда трудно понять либо совсем убрали, либо перенесли в правильные разделы. К примеру требование "MSTG-CODE-7 Error handling logic in security controls denies access by default." наконец-то переехало в секцию архитектуры, где ей самое место.

А требование про "A mechanism for enforcing updates of the mobile app exists." либо вообще уберут, либо оно также переедет в архитектуру.

Так как этот документ и вообще проект OWASP это общественное мероприятие, обсудить и прокомментировать можно в обсуждении на github ( и там же актуальный дифф).

Так что, если есть, что сказать - добро пожаловать в комьюнити OWASP :)

#owasp #masvs #mstg #refactoring

Слайды с доклада по рефакторингу MASVS и MSTG

В начале июня прошел OWASP Virual AppSec 2022, на котором в том числе был доклад про текущий статус переработки двух основных документов по мобилам от оваспа.

Ну что сказать, ребята молодцы, как и обещали потихоньку вместе с сообществом лопатят наши основные документы, которые мы так часто используем.

Из интересного, и что в очередной раз хочется отметить:
1. Документы теперь будут связаны между собой намного сильнее
2. В MSTG должны появиться атомарные проверки на каждое требование (то есть будет понятнее что и как проверять)
3. Существенная переработка требований в каждом разделе
4. Отчетики в PDF и способы автоматизации

Так что все идет к тому, что в этом году мы таки увидим долгожданный релиз и новую «более лучшую версию»!

#owasp #mstg #masvs