MASVS 1.12: “Los puntos finales verifican que los clientes usen una versión actualizada”

1

En la actual OWASP MASVS (a partir de ahora v0.9.3) podemos encontrar el siguiente requisito para MASVS-L2 en Requisitos de verificación de seguridad :

  

MASVS 1.12:
  "Los puntos finales remotos verifican que los clientes conectados usen una versión actualizada de la aplicación móvil".

Me pregunto qué tan importante es el punto acerca de la "verificación de [...] clientes de punto final". Por ejemplo, si un cliente realiza una comprobación de versión a través de una llamada de servicio, ¿sería esto suficiente para usted? (Es decir, el cliente llama a un servicio que le indica la "versión mínima requerida", y el cliente puede forzar una actualización si es necesario).

De la forma en que lo veo, si el cliente se ve comprometido, no podemos confiar en ninguna información que envíe al punto final (como su número de versión para una verificación del lado del servidor según lo propuesto por MASVS 1.12). Y si el cliente no está comprometido en no , entonces no debería importar si la verificación de la versión se realiza en el lado del cliente en lugar del lado del servidor, ¿no?

    
pregunta fgysin 24.04.2017 - 14:19
fuente

1 respuesta

1

Después de hablar con algunos de los autores del documento OWASP MASVS en su canal flojo creo que la respuesta se reduce a:

  • No importa si esta comprobación se realiza en el lado del cliente o del servidor.
  • Su objetivo es ser capaz de obligar a los usuarios a actualizar las versiones anteriores.
  • Un atacante que ataca la aplicación podría eludir / superar esta versión de la versión de muchas maneras diferentes, independientemente de si la verificación se realiza en el lado del cliente o del lado del servidor.
respondido por el fgysin 25.04.2017 - 07:39
fuente

Lea otras preguntas en las etiquetas