移动OWASP安全

Question

我正在设计一个与我的rails服务器通信的应用程序，我已经完成了rails端的OWASP前10名，但是我想知道我的应用程序在rails服务器上与我的SOAP API对话，我应该实现什么安全？我读过关于OWASP移动安全的文章，但我不确定，我知道基本的HTTPS是必须的，但我想知道是否还有其他的建议。

Answer 1

您可能会从我们的免费安全移动开发最佳实践资源中找到一些有用的指导，这是一组50+提示，帮助您学习如何开发安全的安卓和iOS应用程序。

具体来说，实践实现敏感数据的安全网络传输可能会对您有所帮助。

信息披露:我是NowSecure的内容营销经理

Answer 2

OWASP移动安全项目比“基本的HTTPS是必须的”有更多的东西，例如关于这个主题，您可以在这里读到更多：https://www.owasp.org/index.php/Certificate_和_公共的_钥匙_钉扎。

在项目中再深入一点，您会发现：https://www.owasp.org/index.php/Android_测试_作弊_板材 --它包含一个逐步的示例。

您可以再次检查OWASP移动安全项目2016，它们有移动版本的最终版本(2016)：

https://www.owasp.org/index.php/OWASP_莫比尔县_安全性_项目 (主页)

还有一个清单：(我不知道为什么，但是是托管在谷歌驱动器，链接从owasp网站顶部)。

https://drive.google.com/file/d/0BxOPagp1jPHWYmg3Y3BfLVhMcmc/view

当然，他们还为十大移动安全项目设立了一个驻地协调员：

   M1 - Improper Platform Usage

   M2 - Insecure Data Storage

   M3 - Insecure Communication

   M4 - Insecure Authentication

   M5 - Insufficient Cryptography

   M6 - Insecure Authorization

   M7 - Client Code Quality

   M8 - Code Tampering

   M9 - Reverse Engineering

   M10 - Extraneous Functionality

关于手机前十名的全部信息如下：https://www.owasp.org/index.php/Mobile_顶部_10_2016-顶级_10

如果您跟踪并了解所有这些主题，您的应用程序将是“安全的”。