注意键盘缓存 详细描述 建议 CWE/OWASP 注意键盘缓存 详细描述 iOS记录用户键入的内容，以便提供自定义自动更正和表单完成等功能，但敏感数据也可以存储。 几乎每个非数字字按照键入的顺序缓存在键盘缓存中; 缓存的内容超出了应用程序的管理权限，因此应用程序无法从缓存中删除数据。 建议 对任何敏感信息（而不仅仅是密码字段）禁用自动...

Introduction Guidelines Strong Cryptography Support HTTP Strict Transport Security Digital Certificate Pinning Panic Modes Remote Session Invalidation Allow Connections from ...

5.37 安全工具 5.37 安全工具 编码工具： DOMPurify XSS 安全扫描仪/评估器/测试仪： Netsparker Websecurify OWASP ZAP 参考文献： HTML5安全备忘单

避免崩溃日志 详细描述 建议 CWE/OWASP 避免崩溃日志 详细描述 有很多用于跟踪用户使用情况并收集iOS和Android的崩溃日志的framework，这些framework都是开发的有用工具，但重要的是要在开发人员的足够调试信息和攻击者的信息减少之间找到平衡。 如果应用程序崩溃，生成的日志可以为攻击者提供有价值的信息。 建...

避免GUI对象缓存 详细描述 建议 CWE/OWASP 避免GUI对象缓存 远程支票存款应用程序允许人们使用他们的设备拍摄支票的照片，并将其发送到其金融机构以存入帐户。 详细描述 Android将应用程序屏幕保留在内存中，并且多任务可以导致将整个应用程序保留在内存中（即使用户注销其帐户）。 这允许发现或窃取设备的攻击者直接导航到保留的屏幕...

Introduction Definition: Virtual Patching Why Not Just Fix the Code? Value of Virtual Patching Virtual Patching Tools A Virtual Patching Methodology Example Public Vulnerabil...

避免存储缓存的摄像机图像 详细描述 建议 CWE/OWASP 避免存储缓存的摄像机图像 远程支票存款应用程序允许一个人用手机的相机拍摄支票的图片，然后将图像发送到他们的金融机构存入他们的帐户。 详细描述 使用远程支票存款应用程序，一个人可以用手机的相机拍照支票，然后将图像发送到他们的金融机构存入他们的帐户。 许多这些应用程序将保留检查图像...

Security Tools Coding Tool: Security Scanners/Evaluators/Testers: References: Security Tools Coding Tool: DOMPurify XSS Security Scanners/Evaluators/Testers: Netspa...

安全工具 编码工具: 安全性 扫描工具/评估工具/测试工具: 参考文献: 安全工具 编码工具: DOMPurify XSS 安全性 扫描工具/评估工具/测试工具: Netsparker Websecurify OWASP ZAP 参考文献: HTML5 安全秘籍

3.3 Fully Validate SSL/TLS Details Common Mistake: Accepting self-signed certificates Common Mistake: Setting a permissive hostname verifier Remediation General guidance For An...