Port open on device
Port ouvert sur l'appareil
Description
L'application a démarré des serveurs à l'écoute sur localhost. L'accès au port ouvert n'est pas limité aux autres applications sur le téléphone, ce qui peut être exploité pour effectuer des actions non autorisées.
Les attaques par téléchargement furtif (drive-by) utilisant le navigateur et le rebinding DNS sont des formes de techniques d'exploitation qui peuvent être utilisées pour accéder aux ports ouverts à distance.
Recommandation
Avant de créer un serveur local pour votre application, tenez compte des éléments suivants :
- Évitez d'exposer des fichiers sensibles via le serveur local.
- Implémentez une forme d'authentification et/ou d'autorisation.
- Envisagez des implémentations alternatives plutôt que d'utiliser un serveur local.
- Évitez d'écouter sur
0.0.0.0ou0::0pour empêcher d'autres utilisateurs du réseau d'accéder au serveur.
Liens
Normes
- OWASP_MASVS_L1:
- MSTG_NETWORK_1
- MSTG_NETWORK_2
- OWASP_MASVS_L2:
- MSTG_NETWORK_1
- MSTG_NETWORK_2
- PCI_STANDARDS:
- REQ_1_2
- REQ_2_2
- REQ_6_2
- REQ_6_3
- REQ_11_3
- OWASP_MASVS_v2_1:
- MASVS_NETWORK_1
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- HIPAA_CONTROLS:
- SECURITY259
- SECURITY212
- SECURITY213