《黑客大曝光:移动应用安全揭秘及防护措施》一1.4 小结-阿里云开发者社区

开发者社区> 华章计算机> 正文

《黑客大曝光:移动应用安全揭秘及防护措施》一1.4 小结

简介:
+关注继续查看

本节书摘来自华章出版社《黑客大曝光:移动应用安全揭秘及防护措施》一书中的第1章,第1.4节,作者 (美)Neil Bergman ,更多章节内容可以访问云栖社区“华章计算机”公众号查看

1.4 小结

很多方面,移动面临与客户端–服务器架构同样的安全挑战,针对这些挑战我们已经奋斗了许多年。与其重新发明轮子,还不如继续将注意力集中在现有基础上,包括很多我们在本章节涉及的概念:
首先,了解你想要保护的事物:
" 显示的数据
" 传输的数据
" 静态数据
围绕资产、相关威胁和控制开发风险模型。
基于风险模型设计你的移动解决方案。
通过代码审计、渗透测试等方式,将安全集成到你的开发过程中,以确保发现测试手动的滥用和实现时引入的缺陷。
冲洗、打补丁并重复。
对移动应用程序开发者来说,翻到下一页就会看到需要思考的关键对策的总结。
架构和设计,将你的架构与资产价值相结合,比如,“远程控制/无客户端数据”对“存储客户端所有数据”。
输入/输出验证,注入攻击是应用安全的一大隐患。控制输入输出的数据。
缓存及日志,了解你要开发的手机平台,以及可用来记录有用数据片的方法;根据正在处理的数据的敏感度来禁用或者改善这些方法。
错误处理,移动应用场景对于“失败退出”设计可能会有更低的容忍度,但是这并不意味创建强制恢复日志是不可行的。
设备丢失或捕捉,确保你的设计能够有进行控制的最后的补救办法:移除你的数据。
服务端强度,在现代cloud-centric威胁模型中,服务器端的数据及处理是最核心最有价值的资产。在这里部署强有力的控制,包括应用层防护,并对如自主密码重设等容易被误用的公共访问接口给予更严格的关注。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9497 0
WPF布局之让你的控件随着窗口等比放大缩小,适应多分辨率满屏填充应用
  一直以来,我们设计windows应用程序,都是将控件的尺寸定好,无论窗体大小怎么变,都不会改变,这样的设计对于一般的应用程序来说是没有问题的,但是对于一些比较特殊的应用,比如有背景图片的,需要铺面整个屏幕,由于存在多种不同的分辨率,所以会出现布局混乱的情况。
1574 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13186 0
大消息大小配额。若要增加配额,请使用相应绑定元素上的 MaxReceivedMessageSize
.net引用webservice 发生错误 应该是因为获得的数据大于webconfig设定的大小   解决: 在web。config中修改 MaxReceivedMessageSize 的大小 并保持与maxBufferSize 一致
583 0
10059
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载