ITPub博客

首页 > IT基础架构 > 应用安全 > 大佬带你了解app漏洞检测安全防护方案机制

大佬带你了解app漏洞检测安全防护方案机制

原创 应用安全 作者:网站安全 时间:2020-10-27 10:09:39 0 删除 编辑

目前在国内很多项目都有手机端APP以及IOS端,但对于安全性问题无法确保,常常出现数据被篡改,以及会员金额被篡改,或是被入侵和攻击等问题,接下来由Sinesafe渗透测试工程师带大家更深入的了解如何做APP的安全防护以及漏洞检测原理机制。

移动应用的安全威胁及需求分析,基本组件:移动应用(App)、通信网络(无线网络、移动通信网络、互联网)、应用服务器(相关服务器、处理来自App的信息)移动应用安全分析。移动系统平台威胁(iOS,安卓)无线网络攻击(窃听通信内容、假冒基站、域名欺诈、网络钓鱼)恶意代码(流氓行为、资源消耗、恶意扣除、隐私盗窃、远程控制、欺骗欺诈、系统损坏、恶意传输)移动应用代码逆向工程(获取关键算法思想,窃取敏感数据)非法篡改手机APP。

Android系统安全与保护机制。Android系统组成概述。Linux内核层、系统运行时层(库和安卓运行时)、应用框架层和应用程序层,安卓系统安全机制。权限声明机制(正常:不会带来实质性伤害;危险:潜在威胁,如位置和消息;签名:有统一签名的应用可以访问;SignatureOrSystem:由设备制造商使用)应用程序签名机制(APK文件是数字签名的,所有安装的程序都必须有数字证书)沙盒机制(实现不同应用和进程之间的相互隔离UserID)网络通信加密(SSL/TSL)内核安全机制(分区,LinuxACL)Iii.iOS系统安全和保护机制。安全启动链。数据保护。数据加密和保护机制。地址空间布局的随机化。代码签名。沙盒机制。

移动应用安全保护机制及技术方案。移动应用安全加固。反编译(程序文件加密,代码混淆:名称混淆,控件混淆,计算混淆)反调试(设置调试检测功能,触发反调试安全保护措施)防篡改(数字签名,多重检查)防盗(加密),移动App安全检测。测试内容:身份认证机制的检测。通信会话安全机制的检测。敏感信息保护机制的检测。日志安全策略检测。交易过程安全机制的检测。服务器认证机制检测。访问控制机制的检测。数据防篡改能力检测。测试防止SQL注入的能力。反钓鱼安全能力检测。App安全漏洞检测,目前国内做安全漏洞检测的公司如下SINESAFE,鹰盾安全,绿盟,大树安全等等。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31542418/viewspace-2730132/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
本人就职于青岛四海通达电子科技有限公司安全部门主管,2005年毕业有青岛科技大学,专业是信息安全,对网站安全,服务器运维,服务器安全防护,有着大量的实战操作经验。

注册时间:2018-06-15

  • 博文量
    159
  • 访问量
    142404