您位于: 首页 OWASP项目 OWASP Mobile Security Testing Guide

OWASP Mobile Security Testing Guide

我们的愿景

"定义移动应用程序安全性的行业标准。

我们正在编写移动应用的安全标准和全面的测试指南,涵盖移动应用安全测试期间使用的流程、技术和工具,以及一套详尽的测试用例,使测试人员能够提供一致且完整的结果。

MSTG 是一本全面的手册,用于移动应用安全测试和反向工程,用于 iOS 和 Android 移动安全测试人员,内容如下:

  • 移动平台内部
  • 移动应用开发生命周期中的安全测试
  • 基本静态和动态安全测试
  • 移动应用逆向工程和篡改
  • 评估软件保护
  • 符合 MASVS 中要求的详细测试用例。

 

中文项目组

项目组长 肖文棣
项目成员 任博伦 Section 3
王健达 Section 6
宋荆汉 Section 10
黄小波 Section 5
钟英南 Section 8
奚望 Section 7
温略淦 Section 4
郭秀峰 Section 9
罗雄 Section 2
曾耀展 Section 1
审查人员 王颉
汇编人员 赵学文

成员介绍

郭秀峰,毕业于电子科技大学,本科计算机科学专业,早年网络ID“南国利剑”从事过制造业、金融及互联网企业信息安全建 设、安全测试相关工作8年,现任FREEBUF漏洞盒子安全服务专家职务,主要对接大型客户的内部渗透测试,攻防演练技术需求和现场实施指导,同时负责公司华南区安全服务技术管理工作。

黄小波,硕士研究生。曾在多个知名安全厂商从事android病毒分析,app安全测试,android逆向等工作,拥有丰富的移动安全经验。现在vivo互联网安全团队从事源代码安全建设工作。

罗雄,从事企业信息安全建设,渗透测试工作,持有CISSP安全认证。现任博智林机器人,高级信息安全经理。负责安全产品建设,业务安全支撑,渗透测试、项目管理等工作。

任博伦,OWASP中国陕西区域负责人,OPPO子午安全实验室高级安全工程师,长期从事信息安全攻防相关工作,丰富的安全对抗经验,尤其对物联网整体安全方案有丰富经验。多次参与Web云端、移动端、硬件设备端、无线通信的安全评审及渗透测试工作。

宋荆汉,华中科技大学计算机科学专业硕士研究生,现任深圳开源互联网安全技术有限公司网安加学院院长,拥有17年各类软件研发及管理经验,曾在中软信息安全实验、中兴通讯、任子行网络、全志科技、汇金科技担任高级研发管理职位。国内较早从事蜜罐系统、大规模入侵检测系统的研究开发人员,发表有相关专业论文,曾参与国家软件安全开发相关标准的制定,对软件安全开发有比较深入的研究。

王颉,OWASP中国副主席,英国拉夫堡大学网络安全博士,现任深圳开源互联网安全技术有限公司副总经理。具有近10年的网络安全与软件安全技术研究与从业经验,聚焦软件开发安全技术领域的自主安全测试产品研发、技术合作、标准编制和人才培养。自2009年加入OWASP组织和OWASP中国分部以来,曾参与了“OWASP中文项目”和“OWASP S-SDLC项目”2个OWASP全球项目,并先后主持、参与和独立开展了“OWASP Top 10”、“OWASP OpenSAMM”、“OWASP安全编码规范快速参考指南”、“OWASP安全测试指南”等多个OWASP中国分部项目,为在国内提高OWASP安全组织的影响力、提升OWASP研究成果的实用性和适用性做出重要贡献。

王健达,因缘而识,随缘而行,随心而动,又因缘而起,现为杭州帕拉迪汉武实验室安全研究员,为安全而行,人生格言:阴阳相济,阴阳相安。

温略淦,现任平安国际智慧城市法律合规部信息安全合规经理,负责信息安全及数据安全管理体系建设、信息安全策略制定、指导数据治理落地实施、信息科技风险管控及信息化建设等工作,参与集团安全产品设计、SDL流程升级及数据融合等项目,协助监管进行电子取证。持EXIN DPO、CDPSE、ITIL、ISO 27001、PMP等证书,早年在初创公司从事移动终端系统开发工程师,13入职IBM GTS负责海外金融客户IT咨询及安全运维,IT审计等工作。

肖文棣,OWASP中国广东分会负责人,获得华中科技大学软件工程专业工程硕士学位,持有CISSP、AWS助理解决方案架构师和AWS安全专家等认证。现任晨星资讯(深圳)有限公司安全架构师,负责应用安全设计、管理和评审等工作。

奚望,就职于Testin云测,任职Testin云测安全实验室渗透测试负责人,主要从事渗透攻防,逆向分析与项目管理工作,持有CISSP、CISAW等安全认证,对红队攻击、移动应用逆向、个人隐私合规具有深刻认识。

钟英南,本科学历,网络信息安全12年以上从业经验,现就职于广东安创科技技术总监,安创学院安全讲师、CISP认证讲师、51CTO学院高级讲师,持有CISA、CDPSE、CCSSP、CISI等证书,擅长IT审计、安全体系建设、风险管理、安全产品设计、安全合规等领域。

曾耀展,毕业于电子科技大学本科。就职于毕马威中国数字化转型与智能创新空间,任职高级开发以及开发组长。早年接触互联网行业并开始涉足前端开发,然后进一步从事全栈开发多年。多年的大型中外企业从业经验,对企业安全标准和安全架构具有深刻认识。

赵学文,“注册软件安全开发人员(CWASP CSSD)”、“Project Management Professional(PMP)”认证持有者。自2017年加入OWASP中国分部以来,积极参与OWASP中国组织的“OWASP Top 10 2017”、“OWASP应用软件安全级别验证参考标准”、“OWASP应用软件安全代码审查指南”等中文项目,为应用软件安全技术的研究与推广做出积极贡献。

项目时间:

2021年1月7日-2021年4月14日

移动安全测试指南(中文版下载)

移动安全测试指南 (英文项目网址)(MSTG)