Demonstrações do MASTG
Sobre as Demos do MASTG
As demos são documentações que demonstram a vulnerabilidade em um aplicativo de exemplo. Elas podem ser vistas como uma aplicação prática dos testes.
Cada demo contém as seguintes informações:
- Visão Geral: Uma breve descrição da demo.
- Amostra: Um trecho de código que demonstra a vulnerabilidade.
- Etapas: Os passos específicos seguidos para identificar a vulnerabilidade no código de exemplo.
- Observação: Uma descrição dos resultados da execução do teste no código.
- Avaliação: A avaliação dos resultados do teste explicando por que ele falhou ou passou.
Todas as demos no MASTG são escritas em markdown e estão localizadas no diretório demos.
Cada diretório de demo contém os seguintes arquivos:
MASTG-DEMO-****.md: O arquivo markdown contendo a documentação da demo.MastgTest.kt: O trecho de código em Kotlin que demonstra a vulnerabilidade.output.txt: A saída da execução do teste no código.run.sh: O script que executa o teste no código.
Dependendo do teste, a demo pode conter arquivos adicionais, como arquivos de configuração ou trechos de código extras, scripts (por exemplo, em Python) ou arquivos de saída. As amostras são escritas em Kotlin ou Swift, dependendo da plataforma. Em alguns casos, as amostras também incluirão arquivos de configuração, como AndroidManifest.xml ou Info.plist.
Se a amostra puder ser descompilada, o código descompilado também é fornecido na demo. Isso é útil para entender o código no contexto do aplicativo.
As demos devem ser totalmente autossuficientes e não devem depender de recursos ou dependências externas. Isso garante que as demos possam ser executadas de forma independente e que os resultados sejam reproduzíveis. Elas devem ser comprovadamente funcionais nos aplicativos de exemplo fornecidos e devem ser testadas minuciosamente antes de serem incluídas no MASTG.
Aplicativos de Teste MAS
Para que nossas novas demos sejam confiáveis e consistentes, precisamos garantir que os resultados sejam reproduzíveis e pudessem ser testados e validados. Foi aí que entraram os novos MASTestApps. Eles são dois aplicativos muito simples que espelham um ao outro no Android e iOS. As demos devem ser implementadas usando esses aplicativos. Isso ajuda o revisor e serve como um playground para criar e praticar suas habilidades em MAS.
Basta clonar o repositório e seguir as instruções para executar os aplicativos em sua máquina local. Use-os para validar as demos antes de enviá-las para o MASTG.
AVISO IMPORTANTE
Por favor, leia este aviso com atenção, pois ele contém informações essenciais sobre o uso do Mobile Application Security Testing Guide (MASTG).
-
Escopo e Finalidade dos Artefatos do MASTG: Cada nova versão do MASTG incluirá uma coleção de recursos de teste, como regras de Static Application Security Testing (SAST), scripts de Dynamic Application Security Testing (DAST) e outros artefatos relevantes. No entanto, é crucial entender que esses recursos não têm a intenção de fornecer uma solução abrangente para todas as suas necessidades de teste de segurança.
-
Linha de Base: Os recursos fornecidos no MASTG servem como uma linha de base ou ponto de partida. Eles são projetados para serem usados como referências e ferramentas de aprendizado no campo da segurança de aplicativos móveis. Embora ofereçam insights e diretrizes valiosos, eles devem ser usados como uma base sobre a qual você pode construir e adaptar seus próprios processos de automação e teste de segurança específicos.
-
Nenhuma Garantia de Cobertura Completa: O projeto OWASP Mobile Application Security (MAS), entidade por trás do MASTG, explicitamente não assume responsabilidade ou garante que o código e os recursos fornecidos identificarão todas as vulnerabilidades possíveis em aplicativos móveis. O teste de segurança é um campo complexo e em evolução, e a eficácia de qualquer conjunto de ferramentas ou regras varia dependendo de inúmeros fatores, incluindo o contexto específico do aplicativo testado, a experiência do testador e o cenário em constante mudança das ameaças de segurança.
-
Potencial para Falsos Positivos e Negativos: Os usuários do MASTG devem estar cientes de que os recursos de teste podem gerar um número significativo de falsos positivos (identificando incorretamente não problemas como vulnerabilidades) e falsos negativos (deixando de detectar vulnerabilidades reais). É essencial abordar os resultados com uma mentalidade crítica e informada e complementar os testes automatizados com revisão e análise manual.
-
Aprendizado Contínuo e Adaptação: O campo da segurança de aplicativos móveis está em constante evolução. Como tal, os recursos do MASTG devem ser vistos como um corpo de conhecimento vivo, sujeito a atualizações e melhorias. Os usuários são incentivados a se manter informados sobre as últimas tendências e técnicas de segurança e a contribuir ativamente para a evolução desses recursos.
Ao usar o MASTG, você reconhece e concorda com essas limitações. Recomenda-se combinar o uso dos recursos do MASTG com outras práticas e ferramentas de segurança para alcançar uma estratégia de teste de segurança mais abrangente e eficaz para seus aplicativos móveis.