資源描述:
《App智慧安全——楊育斌》由會員上傳分享,免費在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�、楊育斌?一款隱藏在XCode編譯器里的病毒為剛剛推送的iOS9慶生www.bluedon.com?放大15Xwww.bluedon.com篡改APP能獲得部分手機功能權(quán)限可能會盜取手機中的數(shù)據(jù)��,得到手機的設(shè)備參數(shù)�����、網(wǎng)絡(luò)位置等,甚至是獲取你的地理位置���、個人信息��、密碼等����。www.bluedon.com?云端?內(nèi)存敏感信息不當保存?動態(tài)調(diào)試?獲取身份信息?使用不安全SDK?代碼注入?獲取賬戶信息?登陸信息字典攻擊?反編譯?獲取權(quán)限?與后端通信不加密?二次打包?獲取數(shù)據(jù)內(nèi)容?權(quán)限設(shè)置不當?加入病毒���、木馬?惡意推送廣告?敏
2�、感數(shù)據(jù)不當存儲?界面劫持?惡意吸費?敏感數(shù)據(jù)不加密?驗證短信劫持?通信?轉(zhuǎn)賬詐騙?不安全鍵盤輸入?截屏?進入后臺服務(wù)器?證書劫持?應(yīng)用開發(fā)?渠道分發(fā)?應(yīng)用終端OWASP移動應(yīng)用十大風(fēng)險(2014)風(fēng)險環(huán)節(jié)1.二次打包和反編譯分發(fā)2.不安全的數(shù)據(jù)存儲開發(fā)����、終端3.傳輸層保護不足開發(fā)、通信4.意外的數(shù)據(jù)泄露開發(fā)�����、終端����、云端5.授權(quán)認證較弱開發(fā)、分發(fā)6.破解密碼算法終端���、云端7.客戶端注入終端8.通過不可信輸入的安全決策開發(fā)�、終端9.Session會話處理不當開發(fā)、通信10.缺乏二進制文件保護分發(fā)?云端?云安全?通信?
3��、網(wǎng)絡(luò)安全?應(yīng)用開發(fā)安全?渠道分發(fā)?應(yīng)用終端?SDLC開發(fā)流程?開發(fā)平臺?安全測試?應(yīng)用終端安全?安全測試?MAM/MDM/Sandbox?安全加固?代碼審計Security在開發(fā)的初期解決安全問題?安全運作中心?開發(fā)人員?管理監(jiān)測和保護使用中的應(yīng)用軟件從整個代碼找出安全問題��,定下主次�����,然?安全測試人員?BuildServer后解決問題測試及驗證應(yīng)用軟件?安全評審人員?開發(fā)環(huán)節(jié)?詞法和語法分析(如編譯)?控制流和數(shù)據(jù)流分析(操作指令�、數(shù)據(jù)傳遞)?源代碼安全檢測技術(shù)主要為:?過程訪問分析?符合執(zhí)行?開發(fā)環(huán)節(jié)?常規(guī)掃描
4、?缺陷檢測:包含C++/#/JAVA/PHP所支持的語言缺陷類型檢測?安全漏洞檢測:包含C++/#/JAVA/PHP所支持的安全漏洞檢測?軟件架構(gòu)分析?軟件代碼規(guī)范?版本掃描?缺陷檢測?安全漏洞檢測?可定制的代碼分析?軟件代碼規(guī)范?臨時掃描?缺陷檢測?安全漏洞檢測www.bluedon.com漏洞推薦修復(fù)的方法分級報告漏項目的源代碼洞的信息漏洞產(chǎn)生的全路徑的跟蹤信息漏洞的詳細說明?分發(fā)環(huán)節(jié)(發(fā)布前)代碼資源文透明數(shù)?其他加密件加密據(jù)加密?……?APP?SO文件?classes.dex?核心?加密反動態(tài)反調(diào)試注入內(nèi)
5�����、存加密?發(fā)布前后(長期)www.bluedon.comwww.bluedon.com安全鏈太專業(yè)性太長�����!強����!更新困被動應(yīng)對難��!型!誤判��、漏?云端判���!?云安全?通信?網(wǎng)絡(luò)安全?應(yīng)用開發(fā)安全?渠道分發(fā)?應(yīng)用終端?SDLC開發(fā)流程?開發(fā)平臺?安全測試?應(yīng)用終端安全?安全測試?安全加固?代碼審計RASPwww.bluedon.comRASP:RuntimeApplicationSelf-Protection(運行應(yīng)用自保護)isasecuritytechnologythat'sbuiltonoraddedintoanap
6����、plicationruntimeenvironment.It'scapableofcontrollingapplicationexecution,aswellasdetectingandpreventingreal-timeattacks.RASP位于運行環(huán)境中�����,能控制應(yīng)用執(zhí)行�����、檢測并阻止實時攻擊��。保護AppApp自我保護www.bluedon.com?Dataflow?Logicflow?Configurations?Executedinstructions?Dataprocessingwww.bluedon.
7�、com?運行環(huán)境安全:監(jiān)視運行環(huán)境的安全,如JVM��,.NET公共語言運行庫CLR���,容器���,wrappers���,動態(tài)鏈接庫等?應(yīng)用深度分析:深入應(yīng)用的邏輯、配置�、數(shù)據(jù)、事件流���,分析并阻止如SQL注入�����、跨站腳本和請求偽造這樣的攻擊�。?應(yīng)用過程實施安全檢測:使用攻擊模式的in-depth知識和洞察應(yīng)用邏輯和數(shù)據(jù)流的異常��。?應(yīng)用引擎安全儀表:將RASP的instrumentation(“儀表”)放置到程序運行引擎(如JVM�����,CLR��,Tomcat����,Jboss�,IIS等)加載運行�����。www.bluedon.com?能夠通過檢測和攔
8���、截攻擊來保護應(yīng)用安全。?能對應(yīng)用的邏輯流���、數(shù)據(jù)流���、配置、執(zhí)行的指令�、數(shù)據(jù)處理有深度的可見性,以準確識別攻擊�。?裝載儀表(instrumentation)?檢測應(yīng)用程序的運行時環(huán)境。到運行的應(yīng)用程序中Instrumentation應(yīng)該不影響或最小影響應(yīng)用的代碼��。運行時將保護功RASP能做到能加入應(yīng)用www.bluedon.comwww.bluedon.com?代理運行在應(yīng)用
