MASVS 1.12: "Gli endpoint verificano che i client utilizzino la versione aggiornata"

1

Nell'attuale OWASP MASVS (a partire da ora v0.9.3) possiamo trovare il seguente requisito per MASVS-L2 in Requisiti di verifica della sicurezza :

MASVS 1.12:
"Remote endpoints verify that connecting clients use an up-to-date version of the mobile app."

Mi chiedo quanto sia centrale il punto su "l'endpoint che verifica i [...] clienti". Ad esempio, se un client esegue un controllo di versione tramite chiamata di servizio, sarebbe sufficiente ai tuoi occhi? (Il client chiama un servizio che gli dice "la versione minima richiesta" e il client può quindi forzare un aggiornamento se necessario.)

Per come la vedo io, se il client è compromesso, non possiamo davvero fidarci di qualsiasi informazione che invia all'endpoint (come il suo numero di versione per un controllo sul lato server come proposto da MASVS 1.12). E se il client è non compromesso, allora non dovrebbe importare se il controllo della versione è effettivamente fatto lato client invece che lato server, giusto?

    
posta fgysin 24.04.2017 - 14:19
fonte

1 risposta

1

Dopo aver parlato con alcuni degli autori del documento OWASP MASVS su il loro canale di slack penso che la risposta si riduca a:

  • Non importa se questo controllo viene eseguito lato client o lato server
  • Il suo obiettivo semplice è poter forzare gli utenti ad aggiornare le vecchie versioni.
  • Un utente malintenzionato che attacca l'applicazione potrebbe aggirare / superare questo controllo della versione in molti modi diversi indipendentemente dal fatto che il controllo sia eseguito lato client o lato server.
risposta data 25.04.2017 - 07:39
fonte

Leggi altre domande sui tag