《无线客户端安全测试与安全测试系统》.pdfVIP

无线客户端安全测试与安全测试系统 无线客户端安全 曜瞳 个人简介 花 名：曜瞳 (yao tong) 组织架构：安全技术-无线客户端安全 无线事业部 分享目标 ：(主)Android软件安全+业务安全 (非)Android系统、框架、内核安全 内容概要 无线客户端安全现状 Android软件风险点 安全测试系统 QA 无线客户端安全现状 移动设备威胁模型 我们所面临的威胁  OWASP TOP 10  移动互联网厂商  内网  新的挑战 无线客户端安全现状 OWASP TOP 10 我们所面临的威胁 来源 ：/index.php/Projects/OWASP_Mobile_Security_Project__Top_Ten_Mobile_Risks 无线客户端安全现状 移动互联网厂商 我们所面临的威胁 来源：/whitehats/Claud 无线客户端安全现状 移动互联网厂商 我们所面临的威胁 打包党 ：通过反编译官方的APK ，然后向APK内注入所需的 代码 ，重新打包签名发布。插入广告、淘宝客、恶意代码等。 接口党：通过抓包工具、逆向工具等得知客户端与服务器端 通信规则，进而伪造请求业务接口 木马党：伪造官方应用，盗取用户个人信息，非法使用流量、 恶意吸费等。 无线客户端安全现状 移动互联网厂商 我们所面临的威胁我们所面临的威胁 控制源 =移动互联网厂商开发者 +应用市场 来源 ：以上图片来自互联网，时间为2012年，所涉及的安全问题都已得到解决 无线客户端安全现状 内网安全 我们所面临的威胁 • 百度某应用设计缺陷可直接浏览企业内部关键系统甚至渗透 • 手机客户端xss盲打后台 • 企业内部客户端账号泄露 来源 ：以上信息均来自乌云 无线客户端安全现状 新的挑战 我们所面临的威胁 • 手机二维码钓鱼 • 无线的DDOS攻击与CC攻击 • 4G网络+高配手机形成的僵尸网络 Android客户端安全 数据的安全存储 内部存储  Shared Preferences  File  创建模式  存储方式 外部存储  SD Card  SD卡加载APK/JAR/DEX(受信插件/三方插件) 数据存储原则  不存密码  时效性  加密(永恒的攻防对抗) Android客户端安全 Root的隐患 打破沙箱机制，内部存储数据可被外部应用程序访问。 Android客户端安全 数据库安全  数据库的创建 • MODE_PRIVATE  数据库文件的存储