您当前的位置:首页 > 电脑百科 > 安全防护 > 移动

APP应用的安全保护指南

时间:2019-12-13 10:40:41  来源:  作者:

随着移动应用使用率的大幅增长,其被攻击的风险也在增加。根据Gartner的一项研究,“75%的移动应用程序将无法通过基本的安全测试”。大多数企业主认为移动应用不容易受到网络攻击。然而,对于移动App黑客已经总结出方便有效的攻击方法与工具脚本,保护移动应用已经成为迫在眉睫的首要任务。

根据大数据资讯机构HPE(慧与)的一项研究中,对600多家公司的2000多个移动应用进行了测试,结果如下:

35%的应用程序通过HTTP发送用户名和密码, 18%通过SSL/HTTPS协议进行加密传输用户名与密码。

75%的应用程序没有使用密文来存储移动设备上的数据。

71%的应用程序没有使用安全加固产品。

APP应用的安全保护指南

 

APP安全威胁分类

在讨论如何保护移动应用程序免受攻击之前,让我们先简要概述一下常见的APP应用程序安全威胁。

1. 来自PC端的威胁

许多APP允许用户从PC上下载,然后将其上传到移动设备上,这会造成跨设备的威胁。

2. Android/ target=_blank class=infotextkey>安卓移动应用线上平台存在风险

移动应用开发平台审核审计参差不齐,多达90%的移动应用程序存在漏洞。在IOS设备方面,苹果公司可做相对严格的安全准入审计。相比之下,安卓设备由于设备类型、app商店安全性标准不统一、需要覆盖的安卓版本过多、开源等等特性,安卓APP往往存在更多的安全风险。

3. 来自IOT设备的风险

万物互联的时代下,物联网主要目的是收集用户数据,利用这些数据提供更好的用户体验。物联网设备往往是通过安卓app进行控制操作,甚至有些物联网设备原本就是安卓操作系统。安卓应用安全漏洞会给设备带来了难以控制的安全风险。

4. 手机病毒

移动设备处于被恶意软件、木马、病毒和间谍软件攻击的高风险中,从而使黑客能够窃取数据。

5.未授权访问

破解移动app,使得未经授权的用户可以访问您的社交媒体网络、电子邮件帐户和应用程序。

6. 黑产

黑客利用安卓手机开源等特性,分析移动APP,利用改机软件,修改系统信息伪造自己的身份。从而欺骗APP的身份认证等环节,达到薅羊毛等目的。

如何保护您的移动应用程序

看完了上述移动应用的威胁之后,我们来简要了解一下应对措施。

1. 静动态保护

移动应用程序开发阶段,确保使用安全的编译脚本与编译选项,混淆代码让黑客无法获取核心逻辑,确保使用安全的第三方库,对每行代码进行安全审计。黑客通常会通过审计逆向伪代码来发现漏洞并控制、访问你的应用程序,获取手机或应用的敏感个人信息等。

除此之外,需要防止app被动态调试与分析,加入防调试机制。对APP定期进行模糊测试,确保其外部接口不会被入侵。寻找强有力的第三方安全测试公司进行检测也是一种好的选择。

2. 增加身份认证算法强度

接口身份认证和授权为应用程序的登录增加了安全性。确保APP接口只提供对APP重要功能的访问。认证部分全部转移线上去运算,本地不要出现算法逻辑,关键证书内容。增加身份认证因子,可以采用手机端基本信息作为证书生成的重要因子。

3. 保证web/后端安全

实现APP安全,请首先确保在服务器安全,防止未经授权的访问以保护机密数据。对服务器端端所有接口要进行模糊测试。

可以使用容器化后端部署保护数据和文档。此外,需要经过认证机构渗透测试,其结果应符合网络安全标准。通信手段需使用TLS、VPN和SSL等进行加密,防止第三方中间人攻击等。

4. 安全支付

无论你是在网上提供收费服务,还是在网上销售一些产品,都必须有一个安全的支付网关。需要将支付系统和客户端之间的敏感通信增加多因素标记、加密等等。

5. 威胁情报平台

随着移动设备的增加,威胁类别也正在迅速演变,我们不可能预防任何的威胁。但是,您可以开放Web安全应急响应平台帮助处理移动威胁。

此外,APP厂商应该告知用户,在他们的设备上APP应用厂商将安装一个额外的移动安全sdk探针。针对手机基本信息、未知的事件等进行采集,上报到您的威胁情报平台。此外,如果你的应用程序出现任何安全漏洞,sdk探针也可以通知你。

总结

企业高管已经十分重视当前高速增长的APP安全问题。企业内部安全负责人更应该从基本做起,关注APP在开发阶段所产生的隐患,并遵循本文的建议,采取了所有必要的步骤来保护您的应用程序免受网络、恶意软件、病毒和间谍软件等攻击。选择良好的三方渗透服务,发现未知问题,增强安全团队应急响应能力。

来源:Freebuf



Tags:APP应用   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
苹果为 iOS 15 新增了一项「记录 App 活动」功能,该功能可以记录应用(包括系统应用)7 天内每一次访问隐私数据的时间、时长、频率等信息,现在你也可以手动查询这些信息了。 「记...【详细内容】
2021-10-11  Tags: APP应用  点击:(169)  评论:(0)  加入收藏
虽然目前许多企业都进行了长沙APP开发,开始了移动互联网转型之路,但由于其中绝大部分企业都属于传统行业,对APP应用了解并不多,故而对开发工作也不是很清楚。为了大家能更好的了...【详细内容】
2021-02-01  Tags: APP应用  点击:(214)  评论:(0)  加入收藏
随着移动互联网的发展,众多企业都开始积极寻求转型升级,而APP应用就成为了大家的主要选择对象。但由于许多企业本身对APP应用了解较少,故而在进行长沙APP开发时,很容易就会陷入...【详细内容】
2021-01-22  Tags: APP应用  点击:(169)  评论:(0)  加入收藏
相信许多人都知道,开发APP应用是一项流程非常复杂,且专业性极强的工作,但企业大多对APP应用的开发工作并不是很了解,故而在通过外包公司进行长沙APP开发时,往往会陷入误区。但这...【详细内容】
2020-04-07  Tags: APP应用  点击:(80)  评论:(0)  加入收藏
随着移动应用使用率的大幅增长,其被攻击的风险也在增加。根据Gartner的一项研究,“75%的移动应用程序将无法通过基本的安全测试”。大多数企业主认为移动应用不容易受到网络攻...【详细内容】
2019-12-13  Tags: APP应用  点击:(150)  评论:(0)  加入收藏
▌简易百科推荐
公众号:白帽子左一 领取配套练手靶场、安全全套课程及工具...前言在日常渗透项目中,app渗透可以说是家常便饭了。但由于安卓7以后不信任用户安装的证书,很多时候无法正常抓取数...【详细内容】
2021-12-07  暗网视界    Tags:APP渗透   点击:(31)  评论:(0)  加入收藏
前言登场的目标虽不是SRC,但是整个漏洞的利用手法很有学习意义。目前在很多大厂的http数据包中都会添加sign值对数据包是否被篡改进行校验,而sign算法的破解往往是我们漏洞测...【详细内容】
2021-11-10  IT野涵    Tags:APP渗透   点击:(91)  评论:(0)  加入收藏
一、知识点详解msfconsole,进入msf控制端show options,查看设置的ip地址和端口号是否写入run,根据写入的ip地址和端口号,开启监听服务help,在进入安卓手机的控制端,查看可以使用的...【详细内容】
2021-10-08  Kali与编程    Tags:木马渗透   点击:(63)  评论:(0)  加入收藏
一、准备环境Burpsuite、夜神模拟器二、步骤运行burpsuite,打开代理后,访问 http://burp/ 下载CA证书点击右上角位置下载CA证书将下载的CA证书导入到浏览器中,打开浏览器选择设...【详细内容】
2021-10-08  往右走    Tags:APP渗透测试   点击:(67)  评论:(0)  加入收藏
Apple 设备系统最近面临了许多安全性方面的考验,好在在研究组织 Citizen Lab 地帮忙揭露下,最近一个名为「ForcedEntry」的攻击漏洞,已经被官方确认并提出了建议,建议所有用户安...【详细内容】
2021-09-15  科技洞见未来    Tags:苹果漏洞   点击:(70)  评论:(0)  加入收藏
一、知识点详解webcam_list 查看摄像头的序号Webcam_snap -i 摄像头序号,根据摄像头序号,使用该摄像头拍照二、操作详解在我们的kali虚拟机已经成功连接到安卓手机终端后,调用...【详细内容】
2021-08-26  Kali与编程    Tags:黑客   点击:(71)  评论:(0)  加入收藏
前言众所周知,在互联网信息化时代,各种APP、游戏都需要进行“实名制”,所以人们的“个人信息”也变得十分的重要。而互联网又是一把双刃剑,虽然给人们带来了很多的便利、但同时...【详细内容】
2021-07-29  IT影子    Tags:监听   点击:(209)  评论:(0)  加入收藏
你的手机可能被入侵的方式有几种种。让我们分解每一个,看看一些可能的预防措施。1:手机丢失或被盗如果你丢失了手机,它可能会落入坏人之手。如果他们还有关于你的其他信息,他们...【详细内容】
2021-06-01  视频二爷  今日头条  Tags:网络攻击   点击:(131)  评论:(0)  加入收藏
来源:金融界网骚扰电话接不完?信箱里的垃圾短信堆成山?莫名其妙被扣费?网络诈骗玩起“剧本杀”?近日,360联合中国信息通信研究院发布了《2020年中国手机安全状况报告》(以下简称《...【详细内容】
2021-02-02      Tags:手机安全   点击:(146)  评论:(0)  加入收藏
道高一尺,魔高一丈!科技的发展,在推动社会进步的同时,也让无良之徒有机可乘。随着手机扫码的普及,不法分子也纷纷打起了二维码的主意,让你扫进他的陷阱,落入他的圈套。曾经听说某...【详细内容】
2020-12-02      Tags:二维码   点击:(216)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条