Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите демоверсию и консультацию

+7(495) 221-24-31

Вернуться к списку

Мобильные разработчики продолжают наступать на те же грабли

Разработчики мобильных приложений допускают те же ошибки, что и web-разработчики в 1990-2000-х годах.

Современные разработчики мобильных приложений повторяют те же ошибки, что и web-разработчики в далеких 1990-2000-х годах, когда многие инциденты безопасности происходили из-за некорректной проверки входных данных. Некоторые разработчики научились фильтровать вводимые пользователями данные, однако многие по-прежнему повторяют старые ошибки.

Ранее в этом году исследователи Техасского университета A&M Абнер Мендоза (Abner Mendoza) и Гуофэй Гу (Guofei Gu) опубликовали результаты исследования, посвященного современным проблемам разработки мобильных приложений.

По словам исследователей, разработчики до сих пор включают бизнес-логику (проверку вводимых пользователем данных, авторизацию и аутентификации пользователей) в клиентскую, а не серверную часть кода. В результате пользователи мобильных приложений становятся уязвимыми к простым атакам с использованием инъекций параметров HTTP-запросов. Подобных атак можно было бы легко избежать, реализовав бизнес-логику в компоненте серверной части кода, к которой принадлежит большинство таких операций.

Мендоза и Гу создали систему WARDroid для массового анализа мобильных приложений. С ее помощью исследователи определили формат запросов, используемых приложениями, и проверили их на предмет уязвимости к инъекциям параметров HTTP-запросов.

С помощью WARDroid исследователи выявили порядка 4 тыс. приложений с проблемной логикой в API, и 1743 из них передавали данные в незашифрованном виде по HTTP. Затем эксперты случайным образом выбрали из обнаруженных приложений 1 тыс. программ, изучили их вручную и подтвердили наличие проблемной логики в API 962 из них. Экстраполировав полученное число по отношению к Google Play Store, исследователи пришли к выводу, что уязвимость может затрагивать миллионы приложений.

Бизнес-логика в разработке информационных систем – совокупность правил, принципов, зависимостей поведения объектов предметной области (области поддерживаемой системой человеческой деятельности). Другими словами, бизнес-логика является реализацией правил и ограничений автоматизируемых операций.

Источник: https://www.securitylab.ru/news/493751.php


Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

15ноября

ЭОС - участник форума «Искусственный интеллект, большие данные, отечественный софт: национальная стратегия»

Узнать больше

26октября

Важнейшее IT-событие октября - конференция «Осенний документооборот»

Узнать больше

09октября

ЭОС - участник Всероссийского форума «ПРОФ ИТ»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ