Port open on device
设备上开放的端口
描述
应用程序已启动在 localhost 上侦听的服务器。对开放端口的访问并不局限于手机上的其他应用程序,这可能会被利用来执行未经授权的操作。
使用浏览器和 DNS 重新绑定的路过式攻击是一种可用于远程访问开放端口的漏洞利用技术。
建议
在为您的应用程序创建本地服务器之前,请考虑以下事项:
- 避免通过本地服务器公开敏感文件。
- 实施某种形式的身份验证和/或授权。
- 考虑使用替代实现方案,而不是使用本地服务器。
- 避免侦听
0.0.0.0或0::0,以防止网络上的其他用户访问该服务器。
链接
标准
- OWASP_MASVS_L1:
- MSTG_NETWORK_1
- MSTG_NETWORK_2
- OWASP_MASVS_L2:
- MSTG_NETWORK_1
- MSTG_NETWORK_2
- PCI_STANDARDS:
- REQ_1_2
- REQ_2_2
- REQ_6_2
- REQ_6_3
- REQ_11_3
- OWASP_MASVS_v2_1:
- MASVS_NETWORK_1
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- HIPAA_CONTROLS:
- SECURITY259
- SECURITY212
- SECURITY213