Port open on device
デバイスで開いているポート
説明
アプリケーションは localhost でリッスンするサーバーを起動しました。開いているポートへのアクセスは電話上の他のアプリケーションに制限されていないため、悪用されて不正な操作が実行される可能性があります。
ブラウザと DNS リバインディングを使用したドライブバイ攻撃は、開いているポートにリモートからアクセスするために使用される悪用手法の一種です。
推奨事項
アプリケーションのローカル サーバーを作成する前に、次の点を考慮してください。
- ローカル サーバー経由で機密ファイルを公開しないようにします。
- 何らかの形式の認証または承認 (あるいはその両方) を実装します。
- ローカル サーバーを使用するのではなく、代替の実装を検討します。
- ネットワーク上の他のユーザーがサーバーにアクセスできないように、
0.0.0.0または0::0でリッスンしないようにします。
リンク
標準
- OWASP_MASVS_L1:
- MSTG_NETWORK_1
- MSTG_NETWORK_2
- OWASP_MASVS_L2:
- MSTG_NETWORK_1
- MSTG_NETWORK_2
- PCI_STANDARDS:
- REQ_1_2
- REQ_2_2
- REQ_6_2
- REQ_6_3
- REQ_11_3
- OWASP_MASVS_v2_1:
- MASVS_NETWORK_1
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- HIPAA_CONTROLS:
- SECURITY259
- SECURITY212
- SECURITY213