《黑客大曝光:移动应用安全揭秘及防护措施》一1.4 小结

简介:

本节书摘来自华章出版社《黑客大曝光:移动应用安全揭秘及防护措施》一书中的第1章,第1.4节,作者 (美)Neil Bergman ,更多章节内容可以访问云栖社区“华章计算机”公众号查看

1.4 小结

很多方面,移动面临与客户端–服务器架构同样的安全挑战,针对这些挑战我们已经奋斗了许多年。与其重新发明轮子,还不如继续将注意力集中在现有基础上,包括很多我们在本章节涉及的概念:
首先,了解你想要保护的事物:
" 显示的数据
" 传输的数据
" 静态数据
围绕资产、相关威胁和控制开发风险模型。
基于风险模型设计你的移动解决方案。
通过代码审计、渗透测试等方式,将安全集成到你的开发过程中,以确保发现测试手动的滥用和实现时引入的缺陷。
冲洗、打补丁并重复。
对移动应用程序开发者来说,翻到下一页就会看到需要思考的关键对策的总结。
架构和设计,将你的架构与资产价值相结合,比如,“远程控制/无客户端数据”对“存储客户端所有数据”。
输入/输出验证,注入攻击是应用安全的一大隐患。控制输入输出的数据。
缓存及日志,了解你要开发的手机平台,以及可用来记录有用数据片的方法;根据正在处理的数据的敏感度来禁用或者改善这些方法。
错误处理,移动应用场景对于“失败退出”设计可能会有更低的容忍度,但是这并不意味创建强制恢复日志是不可行的。
设备丢失或捕捉,确保你的设计能够有进行控制的最后的补救办法:移除你的数据。
服务端强度,在现代cloud-centric威胁模型中,服务器端的数据及处理是最核心最有价值的资产。在这里部署强有力的控制,包括应用层防护,并对如自主密码重设等容易被误用的公共访问接口给予更严格的关注。

相关文章
|
监控 安全 网络安全
APP安全防护防黑客攻击的手法介绍
在当今数字时代,移动应用的数量呈爆炸性增长,涵盖金融、电子商务、社区、医疗、房地产、工业等各行各业。在给人类带来便利的同时,也给黑客带来了可乘之机,移动黑产也越来越强大,他们的重点是从传统的PC网站转移到移动互联网的战场。尽管国内近五年互联网安全行业发展迅速,优秀的安全防护产品层出不穷,但黑客攻击手段也日益变化,想从根本上解决互联网安全问题,目前无从下手。
335 0
APP安全防护防黑客攻击的手法介绍
|
安全
Google推反恶意广告网站 防护恶意软件威胁
Google近日推出了一个名为“ Anti-Malvertising.com”的新搜索网站,以帮助其广告网络合作伙伴发现那些可能的恶意广告提供商。 今年年初时,Google推出了自定义搜索引擎,目的是让广告网络商调查了解广告客户的潜在背景,以减少遭遇恶意软件的危险。
837 0