OWASP MASVS 是否足以显示根检测警告消息,而不是完全终止应用程序?
Is it enough for OWASP MASVS to display a root detection warning message, rather than terminating the app entirely?
我正在对 Android 应用程序进行渗透测试。
此应用程序检测到 ROOT 环境,但它没有停止应用程序并退出,而是显示一条警告消息并让用户决定是否 运行。
那么基于 OWASP for Mobile (MASVS),它的实现是否正确?
是的,requirement 是(强调):
8.1
MSTG-RESILIENCE-1
The app detects, and responds to, the presence of a rooted or jailbroken device either by alerting the user or terminating the app.
规范明确允许两者之一。
现在,一些建议:作为用户,我讨厌拒绝 运行 在 root 设备上的应用程序。我绝对会给在我从应用程序商店获得 1 星评级的任何应用程序。大多数拥有 root 设备的用户都是 运行 故意使用它们,并且知道所涉及的安全权衡(例如,这通常不比在 Windows 计算机上拥有管理员帐户差)。 请不要让应用程序在检测到有根设备时终止。让用户选择要做什么。
我正在对 Android 应用程序进行渗透测试。
此应用程序检测到 ROOT 环境,但它没有停止应用程序并退出,而是显示一条警告消息并让用户决定是否 运行。
那么基于 OWASP for Mobile (MASVS),它的实现是否正确?
是的,requirement 是(强调):
8.1 MSTG-RESILIENCE-1 The app detects, and responds to, the presence of a rooted or jailbroken device either by alerting the user or terminating the app.
规范明确允许两者之一。
现在,一些建议:作为用户,我讨厌拒绝 运行 在 root 设备上的应用程序。我绝对会给在我从应用程序商店获得 1 星评级的任何应用程序。大多数拥有 root 设备的用户都是 运行 故意使用它们,并且知道所涉及的安全权衡(例如,这通常不比在 Windows 计算机上拥有管理员帐户差)。 请不要让应用程序在检测到有根设备时终止。让用户选择要做什么。