Все, кто занимается безопасностью мобильных приложений, знают о существовании отличного гайда по тестированию - OWASP Mobile Security Testing Guide (MSTG). А также об одном из немногих стандартов для мобил - Mobile Application Security Verification Standard (MASVS). Они даже переведены на русский 😱

Сейчас создатели этих документов хотят узнать, какие компании используют их в своей работе.

Давайте поддержим их и поможем! Если в своей работе вы как-то используете материалы из проекта OWASP Mobile, напишите им :)

#OWASP #MSTG #MASVS #Guides

https://github.com/OWASP/owasp-mstg/blob/master/Users.md

​​Недавно я рассказывал о чеклистах и стандартах по безопасности мобильных приложений от OWASP. К большому сожалению, они одни из немногих, кто выпускают подобные материалы. Если чеклистов по безопасности Web-приложений можно найти огромное количество на любой вкус, то в случае с мобильными приложениями всё несколько хуже.

Иногда всё-таки мне встречаются альтернативные списки требований для мобильных приложений, которые я буду выкладывать по мере нахождения, надеюсь, они пригодятся кому-то :) Из всех доступных стандартов можно составить список требований, который будет адресован именно вашим приложениям 🤓

#MASVS #OWASP #Checklist #Standart

Изменения в MASVS и MSTG

Не так давно прошел митап от OWASP, где обсуждались изменения и будущие улучшения в главных документах для мобилок от OWASP (стандатрте MASVS и гайду MSTG).

Обещают автоматическую генерацию чеклистов на основании MASVS, глобальную переработку структуры и контента, более прозрачную связь между этими документами.

Насколько я понял, бегло пробежав по видео - можно подискуровать и предложить что-то своё в issue на github или присоединившись в Discord.

Интересная и правильная активность, постараюсь в ближайшее время посмотреть подробнее и накидать ссылок на самые интересные изменения.

Посмотреть весь доклад можно на YouTube.

Плюсом к обсуждению переработки документов, на том же вебинаре можно посмотреть доклад Cracking Android PINs.

#owasp #masvs #mstg

Переработка MASVS

А тем временем переработка MASVS идет полным ходом, как нам и обещали в конце года. Сейчас в самом разгаре проработка секции CRYPTO, и черновик можно посмотреть вот по этой ссылке

Что сказать, многие пункты или убрали или переработали и объединили. Например самый первый пункт теперь объединяет в себе все best practice по реализации шифрования:
- not using custom-made crypto.
- prefer platform provided crypto APIs (e.g. Apple CryptoKit)
- if possible, perform crypto operations inside secure hardware (e.g. iOS SE)
- else, consider well-tested & vetted libs: e.g. wolfSSL, boringSSL, openSSL

Если раньше это было размазано по нескольким пунктам в качестве отдельных требований, теперь все в одном флаконе. Не уверен, что это позитивно скажется на проверках, но посмотрим, что получится в итоговом документе.

В любом случае, приятно, что эти материалы развиваются и модифицируются в форму, в которой их будет удобно применять (надеюсь)

#OWASP #MASVS #Creypto

Рефакторинг MASVS - секция CODE

Недавно я писал про планы провести глобальный "ребрендинг" и рефакторинг основных документов от OWASP для мобильных приложений. Секция про криптографию уже переработана и сейчас настала очередь рздела V7 - Code.

И надо сказать, что переделывают его неплохо, по крайней мере все спорные требования, которые было иногда трудно понять либо совсем убрали, либо перенесли в правильные разделы. К примеру требование "MSTG-CODE-7 Error handling logic in security controls denies access by default." наконец-то переехало в секцию архитектуры, где ей самое место.

А требование про "A mechanism for enforcing updates of the mobile app exists." либо вообще уберут, либо оно также переедет в архитектуру.

Так как этот документ и вообще проект OWASP это общественное мероприятие, обсудить и прокомментировать можно в обсуждении на github ( и там же актуальный дифф).

Так что, если есть, что сказать - добро пожаловать в комьюнити OWASP :)

#owasp #masvs #mstg #refactoring

Митап посвящённый переделке MASVS и MSTG

Как я несколько раз уже писал, сейчас идет активная работа над переработкой контента в основных документах OWASP по мобилкам(MSTG и MASVS), чтобы сделать их более привязанными к реальности и взаимодополняющими друг друга, а так же добавить немного автоматизации при работе с ними.

И вот, скоро, 18 августа в 18:30 PM (GMT-4) пройдет митап, посвященный текущему статусу переработки, покажут, что получается, расскажут про целевое видение и дальнейшие планы.

К сожалению, по Москве это 1:30 ночи 19-го числа. Не думаю, чоо все готовы будут столько ждать, поэтому хочу попробовать записать его и потом выложить куда-то, думаю, что должно быть достаточно интересно.

Ну и чтобы не забыть, можно поставить напоминалку или зарегаться у них на сайте и добавить событие в календарь.

#owasp #masvs #meetup

Слайды с доклада по рефакторингу MASVS и MSTG

В начале июня прошел OWASP Virual AppSec 2022, на котором в том числе был доклад про текущий статус переработки двух основных документов по мобилам от оваспа.

Ну что сказать, ребята молодцы, как и обещали потихоньку вместе с сообществом лопатят наши основные документы, которые мы так часто используем.

Из интересного, и что в очередной раз хочется отметить:
1. Документы теперь будут связаны между собой намного сильнее
2. В MSTG должны появиться атомарные проверки на каждое требование (то есть будет понятнее что и как проверять)
3. Существенная переработка требований в каждом разделе
4. Отчетики в PDF и способы автоматизации

Так что все идет к тому, что в этом году мы таки увидим долгожданный релиз и новую «более лучшую версию»!

#owasp #mstg #masvs

Небольшой экскурс в OWASP MASVS

Очередное видео с конференции про то, зачем нужен MASVS и как его применять. Ну и конечно, много времени снова уделено процессу рефакторинга этих документов.

Но в случае с прошлым постом на эту тему были доступны только слайды, а здесь полноценный доклад, так что если кому-то проще слушать и смотреть, а не читать, то это видео в самый раз.

#owasp #masvs