Tổ chức OWASP từ lâu đã phát triển những tài liệu nổi tiếng, được công nhận rộng rãi trong lĩnh vực bảo mật. Nếu đã biết đến OWASP thì chắc hẳn không một ai không biết đến OWASP Top 10 - danh sách 10 lỗ hổng bảo mật phổ biến nhất đối với ứng dụng web.
Bên cạnh đó, OWASP cũng đã phát hành nhiều tài liệu chuyên sâu dành riêng cho các lĩnh vực khác, trong đó OWASP Mobile Application Security là một trong những tài liệu quan trọng. Bộ tài liệu này không chỉ cung cấp một danh sách chi tiết các mối đe dọa bảo mật phổ biến nhất đối với ứng dụng di động, mà còn đề xuất những phương pháp và công cụ giúp các nhà phát triển bảo vệ ứng dụng của mình.
Với việc điện thoại di động ngày càng trở nên phổ biến và trở thành mục tiêu của nhiều cuộc tấn công, OWASP Mobile Application Security đóng vai trò không thể thiếu trong việc giúp đảm bảo an toàn cho người dùng và dữ liệu của họ.
TL;DR
OWASP MAS 2.0 xịn lắm, xịn hơn bản 1.0 cũ nhiều, có ích hơn cho việc kiểm thử bảo mật. Người mới thông qua các tài liệu trong bản 2.0 có thể tiết kiệm nhiều thời gian trong việc học và làm quen với kiểm thử bảo mật cho ứng dụng di động.
OWASP MAS - Mobile Application Security
OWASP Mobile Application Security (MAS) là một dự án chuyên sâu của OWASP, tập trung vào việc nâng cao bảo mật cho các ứng dụng di động. Một phần quan trọng của MAS là OWASP Mobile Top 10 - danh sách những lỗ hổng bảo mật phổ biến nhất mà các ứng dụng di động thường gặp phải, giúp các nhà phát triển nhận diện và xử lý các rủi ro bảo mật thường gặp.
MAS còn bao gồm nhiều tài liệu hữu ích như Hướng dẫn Phát triển Ứng dụng Di động An toàn, Hướng dẫn Kiểm thử Bảo mật Ứng dụng Di động (Mobile Application Security Testing Guide - MSTG), và MASVS (Mobile Application Security Verification Standard), cung cấp các tiêu chuẩn và quy trình để kiểm tra và cải thiện bảo mật cho các ứng dụng.
MAS tập trung vào việc phân tích các mối đe dọa đối với ứng dụng di động, hướng dẫn cách mã hóa dữ liệu, kiểm soát truy cập, và xử lý các vấn đề về bảo mật trong toàn bộ chu kỳ phát triển phần mềm. Dự án OWASP MAS bắt đầu từ nhu cầu ngày càng tăng về bảo mật di động và đã phát triển qua nhiều phiên bản, phản ánh sự thay đổi liên tục trong các mối đe dọa và kỹ thuật bảo mật mới nhất. Với mỗi phiên bản, OWASP MAS không ngừng cập nhật và mở rộng để đáp ứng những thách thức mới, giúp các nhà phát triển duy trì và nâng cao mức độ bảo mật cho ứng dụng di động của họ trong một môi trường ngày càng phức tạp.
Hiện nay MAS đã được cập nhật lên phiên bản 2. Ở phiên bản này, OWASP đã có rất nhiều thay đổi lớn như:
- Cập nhật Mobile top 10
- Công bố và phát triển tài liệu MASWE
- Cập nhật MASTG
- .....
Một số tổ chức lớn trong lĩnh vực ATTT và ATTT đối với ứng dụng di động (Ví dụ: Oversecured) cũng đã tham gia đóng góp cho dự án MAS của OWASP. Điều này giúp cho những tài liệu trong dự án ngày càng chính xác và dễ áp dụng hơn.
Sau đây, hãy cùng điểm qua một số điểm đáng chú ý trong phiên bản mới nhất của MAS.
OWASP Mobile Top 10 2024
Phiên bản trước đó của Mobile Top 10 từ tận 2016, mất tận 8 năm mới cập nhật phiên bản mới vào 2024. Với khoảng cách thời gian dài như vậy, không bất ngờ lắm khi bảng xếp hạng có nhiều sự thay đổi lớn.
Trong danh sách Top 10 2024 có những sự thay đổi sau:
- Có 4 mục mới được thêm vào: M1, M2, M4, và M6
- Hợp nhất các mục cũ thành mục mới bao quát hơn:
- M3 mới được gộp ừ M4 và M6 cũ
- M7 mới được gộp từ M8 và M9 cũ
- Thăng hạng: M8 được tăng lên từ M10 cũ, với một số sự thay đổi về mô tả và nội dung
- Giảm hạng:
- M3 giảm xuống M5
- M2 giảm xuống M9
- M5 giảm xuống M10
Nhìn danh cách Top 10 hiện tại, có thể thấy xu hướng phát triển ứng dụng di động đã có sự thay đổi rõ rệt. Với Top 10 2016, chúng ta thấy các danh mục đứng đầu bảng đều liên quan tới liên kết và tương tác giữa ứng dụng với nền tảng hệ điều hành. Lúc này các ứng dụng vẫn còn chịu trách nhiệm xử lý khá nhiều.
Còn trong Top 10 2024, vị trí đứng đầu trong danh sách đã bị thay thế bởi các mục liên quan đến xử lý xác thực, phân quyền, giao tiếp giữa các thành phần. Đặc biệt đáng chú ý là Insecure Data Storage đã bị hạ từ M2 xuống tận M9, vẫn giữ vị trí thứ 2 nhưng là từ dưới lên. Điều này cho thấy các ứng dụng hiện nay đã cẩn trọng hơn trong việc lưu trữ dữ liệu ngay tại thiết bị, trọng tâm của ứng dụng di động đã nghiêng về phía Server nhiều hơn phía ứng dụng tại Client.
Nội dung M2 Inadequate Suppy Chain Security mới được thêm vào danh sách đã cho thấy rằng ứng dụng di động hiện nay sử dụng rất nhiều dịch vụ, thư viện, mã nguồn mở do bên thứ 3 cung cấp. Các cuộc tấn công trong vòng mấy năm gần đây cũng nhắm đến chuỗi cung ứng nhiều hơn, do đó vấn đề này cần được kiểm tra kỹ lưỡng nếu muốn nâng cao tính bảo mật cho ứng dụng di động.
MASWE
Đây là một tài liệu mới được OWASP thêm vào MAS. MASWE đóng vai trò như lớp liên kết giữa MASVS (hướng dẫn phát triển ứng dụng di động an toàn) và MASTG (hướng dẫn kiểm thử bảo mật cho ứng dụng di động). Đây là một bộ danh sách các điểm yếu, mối nguy về bảo mật. Những mối nguy, điểm yếu này có thể trở thành lỗ hổng thực sự nếu quá trình phát triển ứng dụng không được làm tốt.
Vai trò của MASWE đối với ứng dụng di động tương tự với CWE đối với ứng dụng nói chung vậy. Hiện MASWE đã có 108 mục, và sẽ còn được phát triển thêm trong tương lai. Mỗi danh mục đều được chỉ rõ nền tảng áp dụng (Android/iOS), cấp độ bảo mật, và ID MASVS tương ứng.
MASTG
Đây là nội dung đáng chú ý nhất đối với người làm công việc kiểm thử bảo mật. Đây cũng là nội dung có nhiều cập nhật lớn và hữu ích cho việc kiểm thử bảo mật.
MASTG 1.0 chỉ là một tài liệu hướng dẫn kiểm thử bảo mật cho ứng dụng di động, được chia thành từng phần như: Lưu trữ dữ liệu cục bộ, Mã hóa, Kết nối mạng, Dịch ngược,... Người sử dụng sẽ cần đọc hiểu đống tài liệu đó, rồi tự tìm ra cách kiểm thử cho từng hạng mục. Ở phiên bản cũ này cũng giới hiệu cách kiểm thử, nhưng chỉ dừng lại ở những mô tả, hướng dẫn thì chưa kỹ. Do đó không phải hạng mục nào cũng có thể triển khai kiểm thử, hoặc sẽ phải tự tìm cách khác để thực hiện được
Tại phiên bản 2.0 thì các vấn đề thiếu sót lớn của MASTG 1.0 đã được khắc phục. MASTG giờ đây không còn là một tài liệu hướng dẫn kiểm thử nữa, nó đã có thêm:
- Test case cho từng mục kiểm thử
- Công cụ kiểm thử dành cho từng mục kiểm thử
- Kỹ thuật và hướng dẫn cụ thể cho từng mục, từng test case.
- Ứng dụng để luyện tập
- DEMO: đây có thể coi là write up của các ứng dụng luyện tay
Số lượng Test case hiện tại mới chỉ dừng lại ở 92 test case, nhưng với big update như này, tương lai số lượng test case sẽ đầy đủ hết thôi, thậm chí có thể 1 mục MASTG có thể thực hiện bằng nhiều test case.
Mục kỹ thuật kiểm thử thì sẽ hữu ích với những người mới tìm hiểu về kiểm thử bảo mật ứng dụng di động. Một số kỹ thuật sẽ chỉ được miêu tả ngắn gọn, nhưng cũng có một số kỹ thuật kèm hướng dẫn để người mới làm quen.
Có khá nhiều công cụ hỗ trợ kiểm thử được giới thiệu trong MASTG 2.0 này, nhưng 1 số công cụ đã lỗi thời, quá lâu không cập nhật. Người dùng sẽ phải tự sàng lọc và chọn ra công cụ phù hợp cho công việc.
Demo và ứng dụng lab hiện tại vẫn chỉ là phần được thêm vào, chờ đợi cập nhật thêm trong tương lai. Phần demo thì chưa có nhiều, tác dụng chưa lớn lắm, nhưng có cái để thử cũng còn hơn không. Phần ứng dụng lab thì cũng vừa sức với người mới tìm hiểu, độ khó ở mức cơ bản, nhiều lab đã được phát triển từ lâu rồi. Người đã có kiến thức, kinh nghiệm, và trải nghiệm thì nên tìm những bài CTF về Android trong các giải như HTB CTF, NaHamCon CTF,... trong khoảng 1 - 2 năm gần đây thì sẽ hợp lý hơn trong việc học và luyện tay.