MASWE
El proyecto insignia de OWASP Seguridad de Aplicaciones Móviles (MAS) proporciona estándares de la industria para la seguridad de aplicaciones móviles.
El proyecto OWASP MASWE es una de las herramientas proporcionadas por MAS, y ofrece una lista de debilidades que se han encontrado en varias aplicaciones móviles.
¿Qué es el MASWE?
La Enumeración de Debilidades de MAS lista debilidades y, por lo tanto, posibles vulnerabilidades, que se han encontrado en varias aplicaciones móviles a lo largo del tiempo.
El MASWE se divide en categorías de debilidades que corresponden a las categorías de verificación de MASVS:
- MASVS-STORAGE almacenamiento de datos sensibles
- MASVS-CRYPTO mejores prácticas de criptografía
- MASVS-AUTH mecanismos de autenticación y autorización
- MASVS-NETWORK comunicaciones de red
- MASVS-PLATFORM interacciones con la plataforma móvil
- MASVS-CODE plataforma y software de terceros
- MASVS-RESILIENCE integridad y ejecución en una plataforma confiable
- MASVS-PRIVACY privacidad de usuarios, datos y recursos
¿Por qué usarlo?
Aunque el MASWE es un proyecto relativamente nuevo desde 2024, ya proporciona un lenguaje común para discutir y categorizar debilidades encontradas en aplicaciones móviles. También proporciona una lista de posibles vulnerabilidades que deben considerarse durante el ciclo de vida del diseño y al crear o revisar requisitos de seguridad para aplicaciones móviles.
El MASWE es una valiosa lista de lo que podría salir mal con las aplicaciones móviles junto con las actividades de actores maliciosos.
Cómo usarlo
La Enumeración de Debilidades Comunes (CWE), publicada por MITRE, puede ser utilizada por arquitectos de seguridad para que estén conscientes de qué debilidades y vulnerabilidades potenciales podrían estar presentes en una aplicación. Los equipos de desarrollo pueden usar el CWE como referencia para estas debilidades y para ayudar a comprender cualquier mitigación. Estos son solo dos ejemplos de cómo se utiliza ampliamente el CWE.
De manera similar, el MASWE puede utilizarse en el desarrollo de aplicaciones móviles para:
- informar a los equipos de desarrollo sobre debilidades específicas
- identificación de requisitos de seguridad
- utilizarse como ayuda para la capacitación
- proporcionar categorización de debilidades
Esta lista es solo un punto de partida; hay muchos usos para el MASWE.
Referencias
- Proyecto de Seguridad de Aplicaciones Móviles (MAS)
- Enumeración de Debilidades MAS (MASWE)
- Enumeración de Debilidades Comunes de MITRE (CWE)
- Estándar de Verificación MAS (MASVS)
- Lista de Verificación MAS
- Guía de Pruebas MAS (MASTG)
Traducción de versión original en inglés.
La Guía del Desarrollador de OWASP es un esfuerzo comunitario; si ve algo que necesita cambios, entonces cree un issue o edítelo en GitHub.