欢迎来到天天文库
浏览记录
ID:8219060
大小:15.74 MB
页数:0页
时间:2018-03-10
《App智慧安全——杨育斌》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、杨育斌一款隐藏在XCode编译器里的病毒为刚刚推送的iOS9庆生www.bluedon.com放大15Xwww.bluedon.com篡改APP能获得部分手机功能权限可能会盗取手机中的数据,得到手机的设备参数、网络位置等,甚至是获取你的地理位置、个人信息、密码等。www.bluedon.com云端内存敏感信息不当保存动态调试获取身份信息使用不安全SDK代码注入获取账户信息登陆信息字典攻击反编译获取权限与后端通信不加密二次打包获取数据内容权限设置不当加入病毒、木马恶意推送广告敏
2、感数据不当存储界面劫持恶意吸费敏感数据不加密验证短信劫持通信转账诈骗不安全键盘输入截屏进入后台服务器证书劫持应用开发渠道分发应用终端OWASP移动应用十大风险(2014)风险环节1.二次打包和反编译分发2.不安全的数据存储开发、终端3.传输层保护不足开发、通信4.意外的数据泄露开发、终端、云端5.授权认证较弱开发、分发6.破解密码算法终端、云端7.客户端注入终端8.通过不可信输入的安全决策开发、终端9.Session会话处理不当开发、通信10.缺乏二进制文件保护分发云端云安全通信
3、网络安全应用开发安全渠道分发应用终端SDLC开发流程开发平台安全测试应用终端安全安全测试MAM/MDM/Sandbox安全加固代码审计Security在开发的初期解决安全问题安全运作中心开发人员管理监测和保护使用中的应用软件从整个代码找出安全问题,定下主次,然安全测试人员BuildServer后解决问题测试及验证应用软件安全评审人員开发环节词法和语法分析(如编译)控制流和数据流分析(操作指令、数据传递)源代码安全检测技术主要为:过程访问分析符合执行开发环节常规扫描
4、缺陷检测:包含C++/#/JAVA/PHP所支持的语言缺陷类型检测安全漏洞检测:包含C++/#/JAVA/PHP所支持的安全漏洞检测软件架构分析软件代码规范版本扫描缺陷检测安全漏洞检测可定制的代码分析软件代码规范临时扫描缺陷检测安全漏洞检测www.bluedon.com漏洞推荐修复的方法分级报告漏项目的源代码洞的信息漏洞产生的全路径的跟踪信息漏洞的详细说明分发环节(发布前)代码资源文透明数其他加密件加密据加密……APPSO文件classes.dex核心加密反动态反调试注入内
5、存加密发布前后(长期)www.bluedon.comwww.bluedon.com安全链太专业性太长!强!更新困被动应对难!型!误判、漏云端判!云安全通信网络安全应用开发安全渠道分发应用终端SDLC开发流程开发平台安全测试应用终端安全安全测试安全加固代码审计RASPwww.bluedon.comRASP:RuntimeApplicationSelf-Protection(运行应用自保护)isasecuritytechnologythat'sbuiltonoraddedintoanap
6、plicationruntimeenvironment.It'scapableofcontrollingapplicationexecution,aswellasdetectingandpreventingreal-timeattacks.RASP位于运行环境中,能控制应用执行、检测并阻止实时攻击。保护AppApp自我保护www.bluedon.comDataflowLogicflowConfigurationsExecutedinstructionsDataprocessingwww.bluedon.
7、com运行环境安全:监视运行环境的安全,如JVM,.NET公共语言运行库CLR,容器,wrappers,动态链接库等应用深度分析:深入应用的逻辑、配置、数据、事件流,分析并阻止如SQL注入、跨站脚本和请求伪造这样的攻击。应用过程实施安全检测:使用攻击模式的in-depth知识和洞察应用逻辑和数据流的异常。应用引擎安全仪表:将RASP的instrumentation(“仪表”)放置到程序运行引擎(如JVM,CLR,Tomcat,Jboss,IIS等)加载运行。www.bluedon.com•能够通过检测和拦
8、截攻击来保护应用安全。•能对应用的逻辑流、数据流、配置、执行的指令、数据处理有深度的可见性,以准确识别攻击。•装载仪表(instrumentation)•检测应用程序的运行时环境。到运行的应用程序中Instrumentation应该不影响或最小影响应用的代码。运行时将保护功RASP能做到能加入应用www.bluedon.comwww.bluedon.com代理运行在应用
此文档下载收益归作者所有
