以程序架构探索移动应用安全的发展历程_残废.pdfVIP

以程序架构探索 移动应用安全的发展历程 • WHOAMI ？？？ • 残废 • 四叶草安全安全服务部成员，雁行安全团队成员 • 主攻渗透测试，web安全，拥有数百个企业安服实战经验 • 曾多次出现在国内安全顶尖会议 • 多次在甲方安全应急响应中心获得奖项 • Mail ：chaihao@ • 从互联网到移动应用 • 登陆流程 • 身份认证 • 支付安全 • 用户交互 • 存储机制 • 数据安全 • 客户端缺陷 • 风险控制 从互联网到移动互联——宏观角度 • 互联网到物联网 • 移动设备智能化 • 移动应用多元化 • 移动安全事件的频发 • 移动应用安全检测基准 • 恐怖的移动应用 • 有意识的构建移动应用安全标准体系 测试者眼中的移动应用——微观角度 ？？？ 登陆流程 • 单因子→多因子→复杂因子→时效因子 身份识别 • What you know • What you have • What are you • Can i know ？ • Can i have ？ • Can i be you ？ 身份认证 • 单一身份标识 • 多重身份检查 支付业务 支付业务安全 • 常规支付模型 • 低风险支付模型 用户交互 • 参数数据类型控制 • 数据传输加密 • 安全认证机制 • 用户输入内容检测及过滤 • 用户权限控制 • 参数值的加密 数据安全 • 数据对称算法加密 • 敏感内容加密 • 权限未明确建立 • 数据备份／迁移 • 数据访问控制权限 存储安全 • 配置信息明文存储 • 日志输出明文敏感数据 • 数据传输直传直入 • 敏感信息本地存储 客户端缺陷 • 日志信息的保存 • 程序可被调试 • 任意数据备份 • 全局文件可读写 风险控制 • IP客观属性 • IP主动探测 c • 历史行为辅助 • 风控规则 • 传统校验 • …… 怎么变的？ 移动应用本身 • 后端 • 用户 • 数据传输保护 • 减少记忆内容 • 后端多重验证 • 简化操作流程 • 人机检测判定