Mobile Application Security Penetration Testing Based on OWASP
:::info Alanda, A., Satria, D., Mooduto, H. A., & Kurniawan, B. (2020, May). Mobile application security penetration testing based on OWASP. In IOP Conference Series: Materials Science and Engineering (Vol. 846, No. 1, p. 012036). IOP Publishing. :::
Introduction
研究針對Android行動應用程式安全性進行滲透測試,主要基於OWASP(開放式Web應用程式安全專案)的10大行動應用程式弱點。測試結果顯示,有80%的測試應用程式存在OWASP Mobile Top 10所列出的弱點,研究提供了各種弱點的測試方法與結果分析,並給出相應的安全修復建議,以增強Android行動應用程式的安全性。
以 Andorid 實驗案例探討 OWASP 行動裝置應用程式之十大威脅
:::info 許振銘, & 許登凱. (2014). 以 Andorid 實驗案例探討 OWASP 行動裝置應用程式之十大威脅. Communications of the CCISA, 20(2), 77-96. :::
這兩篇論文會擺在一起是因為兩者的論述方向差不多(實際探討的部分不一樣),而且都有提到Pentest的一些Tools或是現階段常見的Framework
Introduction
這一篇論文主要是蒐集很多Lab測試平台,然後分類這些平台提供的Lab是OWASP Mobile Top 10(OMT10)中的哪一個,然後實際去測試並說明這些Lab的漏洞成因以及如何攻擊,就這樣
有哪些Lab測試平台
- GoatDroid: 是以 OMT10 所歸納的大十大風險為原則來設計的兩個具有多種弱點的APPs,包含以位置基礎的社交網路(Location-based Social Network) FourGoats 與行動銀行Herd Financial,以上兩個應用程式一共存在13 項弱點設計 - 原作者把Building Server下架了
- ExploitMe Mobile Android Labs
- Hacme Bank Android - 無效
- Honeynet Challenge 9 - Mobile Malware
-
InsecureBank - 無效
- Damn insecure and vulnerable App (DIVA)
- Damn Vulnerable FirefoxOS Application (DVFA)
- Drozer Sieve
- NcN Wargame - 無效