• 测试第三方库
    • 详细描述
    • 建议
    • CWE/OWASP

    测试第三方库

    详细描述

    开发人员非常依赖第三方库。 在测试代码时,彻底探查和测试这一点很重要。 第三方库可以包含漏洞和弱点。 许多开发人员认为第三方库已经完善并经过测试,然而,问题可能而且确实存在于他们的代码中。

    建议

    安全审计必须彻底测试第三方库和功能。 这应该包括核心的iOS和Android代码/库。 升级到新版本的第三方库(或操作系统版本)应视为您的应用程序的一部分。 更新的第三方库(或新操作系统版本)可能包含新的漏洞或暴露您的代码中的问题。 应该测试它们,就像为应用程序测试新代码一样。 在iOS上,静态编译第三方库以避免LD_PRELOAD攻击; 在这种攻击中,一个库及其功能可以被替换为具有被恶意代码替换的攻击者库。

    CWE/OWASP

    • M8 - Security Decisions via Untrusted Inputs
    • CWE 829