使用安全的网络传输方法传输敏感数据 详细描述 建议 CWE/OWASP 使用安全的网络传输方法传输敏感数据 详细描述 与网络浏览器不同，移动设备通常不会公开应用程序是否使用SSL / TLS来保护数据传输，因此应用程序用户只能相信应用程序的开发人员已实施网络加密。 多年来，SSL（后继者是TLS）一直是Web通信加密的标准，包括为移动应用...

避免将应用程序数据存储在备份中 详细描述 建议 Android iOS CWE/OWASP 避免将应用程序数据存储在备份中 详细描述 在Android或iOS设备上执行数据备份还可以备份存储在应用程序的私人目录中的敏感信息。 建议 Android 默认情况下，Android应用程序的Manifest文件中的allowBacku...

Escape Output One Paragraph Explainer Code example - Don’t put untrusted data into your HTML Code example - Malicious content that might be injected into a DB Blog Quote: “When ...

避免缓存HTTP（S）请求/响应 详细描述 建议 参考 CWE/OWASP 避免缓存HTTP（S）请求/响应 详细描述 默认情况下，iOS的NSURLRequest 将响应缓存在Cache.db文件中。 为了防止这种不安全的行为，开发人员必须明确禁用缓存。 建议 开发人员可以设置NSURLRequest 的cachePolicy 属...

Avoid Intent Sniffing Details Remediation CWE/OWASP Avoid Intent Sniffing When an activity is initiated by another application using a broadcast intent, the data passed in t...

7.9 Follow WebView Best Practices Details Remediation References CWE/OWASP 7.9 Follow WebView Best Practices Details WebViews can introduce a number of security concerns ...

Implement Touch ID Properly Details Remediation References CWE/OWASP Implement Touch ID Properly Details Touch ID is commonly known for its use in allowing a user to auth...

Protect Against CSRF with Form Tokens Details Remediation References CWE/OWASP Protect Against CSRF with Form Tokens Details CSRF (Cross-site Request Forgery) relies on k...

Escape Output One Paragraph Explainer Code example - Don’t put untrusted data into your HTML Code example - Malicious content that might be injected into a DB Blog Quote: “When ...

7.13 Request Android permissions carefully Details Remediation CWE/OWASP 7.13 Request Android permissions carefully Details Android uses permissions to manage access to da...