基于混合模式移动客户端开发的安全性研究-郑海山的blog-厦门大学.PDF

福 建 电 脑 UJIAN COMPUTER F 基于混合模式移动客户端开发的安全性研究 郑海山 （厦门大学信 息与网络 中心 福建 厦门 361005） 【摘 要】：本论文介绍在移动客 户端开发热潮 中基于混合模式快速开发的方法，并给 出该方法乃 至于所有开发模式在 源代码泄露、本地保存密码、未使 用 HTTPS 加 密、用设备 ID 代替认证 、资源枚举 漏洞、SQL 注入漏洞、XSS、CSRF、Clickjacking 等方面的安全性 问题，并提供解决方法。应用本论文的方 法后移动客 户端的开发更加快速和安全。 【关键词】：移动客 户端；混合模式开发；安全性 0引言 用Ajax 调用远程API 服务器或者直接显示远程API 根据中国互联网络信息中心发布的第32 次 《中 服务器返回的HTML 代码。以上开发工具和语言跟原 国互联网络发展状况统计报告》，截至2013 年6 月 有的网站开发所掌握知识架构重叠，对开发人员要求 底，中国网民规模达5.91 亿，其中达4.64 亿的手机网 低。 [1]。在手机等移 民规模促进了手机上各种应用的发展 2安全性分析 动客户端开发中，目前有三种模式：原生应用、网页应 然而，也正由于其低门槛，导致混合模式开发的 用和混合应用。Jim Cowart 对这三种应用模式的定义、 应用普遍安全性较弱，甚至于比在桌面浏览器运行的 优缺点、何时该选择哪种应用做了详细的介绍[2] 。本论 Web 网站更弱。其根源在于：桌面浏览器运行的Web 文推荐使用混合模式开发。混合模式门槛较低，然而 网站可以看到访问的URL 地址，可以直接查看生成 正是由于其过低的门槛，导致这些应用普遍安全性偏 的HTML 代码，而移动客户端应用更像一个黑盒，在 低。本文将对笔者分析过的多个移动客户端应用安全 这个伪黑盒的蒙蔽下，开发人员的安全意识就会松 性进行剖析，并给出相应的解决方法。 懈。开发人员因为用户无法像桌面浏览器一样查看网 1移动客户端开发 页地址和HTML 源代码就认为应用是安全的。实际上 使用混合模式开发移动客户端应用，可使用 移动客户端应用在被反编译和网络抓包工具捕获分 PhoneGap[3] 、Titanium、RhoMobile、AppCan 等跨平台工 析下，网页地址和源代码也是完全暴露在黑客面前。 具打包应用。使用该方法使得一次开发即可适配iOS、 而且由于移动客户端应用需要调用远端API 服务器， Android 、Windows Phone 、Palm、Blackberry 等多平台。 所以原先Web 开发方面的安全漏洞也还是存在。而 跨平台工具生成的应用内嵌了移动终端浏览器，使用 API 调用的接口简单，比Web 网站的服务端程序更容 HTML5+CSS3+JavaScript 开发的应用在内嵌的浏览器 易遭到攻击。下面举例笔者在实践中对移动客户端应 内运行。跨平台工具除了使用浏览器提供的功能外， 用分析后归纳出的几种较为普遍的安全漏洞，并一一 还可使用JavaScript 调用具体移动终端的功能，比如 给出解决方法。 地理定位、摄像头、加速器、联系人、声音和振动等。任 2.1 源代码泄露 何一段HTML 代码打包后即成为一个移动客户端应 移动客户端应用文件，比如Android 客户端APK 用。这种开发模式开发速度快、调试容易而受到普遍 文件是ZIP 文件格式的，所以源代码很容易被窃取。 欢迎。 通过反编译，基于HTML5+CSS3+JavaScript 的资源文 使用混合模式开发的移动客户端应