App安全架构之前端安全防护

最新推荐文章于 2023-06-29 15:34:03 发布
最新推荐文章于 2023-06-29 15:34:03 发布
阅读量1.4k 收藏
点赞数
文章标签: 安全 安全架构 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/speedoooo/article/details/127848514
版权

近年来,随着互联网、物联网、移动设备、5G通讯等技术的齐头发展,人类的生活和工作越来越离不开软件和互联网,正如人类社会文明发展到一定程度以后,会需要法律等社会规范来保护一样,线上环境也是一样道理。

Gartner 对安全架构的定义是:安全架构是计划和设计组织的、概念的、逻辑的、物理的组件的规程和相关过程,这些组件以一致的方式进行交互,并与业务需求相适应,以达到和维护一种安全相关风险可被管理的状态。因此,安全架构的概念非常宽泛,包括安全控制措施、安全服务(例如身份验证、访问控制等)和安全产品(例如防火墙、入侵检测等)。

文章篇幅有限,故内容聚焦在安全架构中的前端安全防护范畴。

安全设计原则

当今安全设计经典理论中,最为经典、被引用最多的是由 MIT 的 Saltzer 教授在 1975 年首先提出的 8 大安全设计基本原则,被安全业界奉为 “经典安全原则”。经过业界多年的发展和总结,在原有 8 大经典设计原则的基础上,进一步完善和延伸,例如 “纵深防御”、“不要轻信”、“保护薄弱环节”、“提升隐私” 原则等。

前端安全问题

近年来有8大问题尤其引起关注:

  1. 跨站脚本攻击(Cross-Site Scripting)

  2. 使用iframe的风险

  3. 点击劫持

  4. 错误的内容推断

  5. 不安全的第三方依赖包

  6. HTTPS中间人攻击

  7. 本地存储数据泄露

  8. CDN劫持/污染

如此多的、影响重大的前端安全问题,直接把软件安全防范推上了风口浪尖,安全人员面临着挑战也倍数级增长。

端侧安全的主流解决方案

基于端侧可能得安全问题,市场上有以下6大主流解决方案:

1、APP 代码保护。由于开源技术的进步,攻击者很容易就可以获得应用的反编译代码(基本是应用源代码)。针对此攻击,提高逆向分析的门槛,可以进行代码混淆、dex 加壳、so 加壳等方式对代码进行保护。

2、APP 运行时保护。对移动端应用的逆向分析还有动态调试。通过动态调试还可以伪造或篡改请求 / 响应包,从而攻击服务器端。此种攻击可以采用市场上的一些加固工具软件对APP 进行加固保护,防止恶意破解、反编译、二次打包等。

3、APP 第三方代码安全。移动应用开发过程中,出于功能需求等原因,开发人员不可避免会集成一些其他第三方提供的代码,如 SDK。这些第三方代码未经测试和评估就直接嵌入到应用中直接使用,容易出现不可预料的后果。一方面是第三方代码的安全性未经测试,可能存在安全漏洞被攻击者利用,从而威胁整个应用的正常使用。另一方面,第三方代码额外实现了冗余功能或者申请多余的特权,可能造成用户隐私信息泄露,或者一系列恶意行为。

对于此类威胁,安全设计方案是:

1)App中大部分是web或者小程序类轻应用,可以采用市面上的安全沙箱类技术(如:FinClip),对应用进行统一的上下架管理。其特点主要体现在三个方面:

  • 沙箱内小程序之间的隔离

  • 沙箱对运行其中的小程序代码,隔离其对宿主环境的资源访问。

  • 沙箱隔离了宿主对于沙箱中运行的小程序所产生的数据。

2)集成第三方代码时,开发人员应尽可能了解第三方代码的功能,以及尽可能保证第三方代码的安全性。

4、APP 端业务安全。为了防止 APP 用户恶意注册及薅羊毛等恶意行为,可以在 APP 中加入设备指纹,进行数据埋点等,将 APP 数据接入业务风控平台,进行业务反欺诈。

5、Web 安全。对于 Web 安全,关注常见的 OWASP TOP 10 漏洞,如注入、身份认证、敏感信息泄露、安全配置错误等。常见的防御措施有认证、授权、加密、审计、输入验证等。

6、Restful API 安全。Restful API 以 URI 方式对外提供数据服务或功能服务。外部用户多数情况下是程序或系统。提供的数据服务或功能服务多数情况下,是非公开的,即需要对 HTTP 请求来源和身份做识别与认证,再经过授权决策(访问控制)后,提供相应的数据或执行功能。

随着技术的进步和发展,相信还会有更多的技术解决方案冒出。如果您有更好的技术方案,欢迎在文章评论区留言。

speedoooo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息安全_数据安全_The_Emerging_Gray-App_Threat:Mob.pdf
08-22
信息安全_数据安全_The_Emerging_Gray-App_Threat:Mob 企业安全 安全对抗 安全实践 安全防护 大数据
智能网联汽车信息安全风控系统研究.pdf
03-19
随着智能网联汽车的不断发展,网络安全问题已经成为影响传统汽车全面向智能网联汽车发展过渡的关键。 在车联网“端—管—云”的基本网络架构下,每一个环节都是信息安全防护重点。因此,设计并实现了智能网联汽车信 息安全风控系统,包括T-BOX系统安全、移动应用APP安全和服务器安全分析平台等。通过实验,检测了T-BOX样机对 抗DoS攻击和网络SYN攻击的能力,以此验证了所提出的信息安全风控系统的有效性。
电子政务APP网络安全防护.pdf
09-20
电子政务APP网络安全防护.pdf
【推荐】最新数据安全解决方案和实践合集.zip
07-27
推荐,最新数据安全解决方案和实践合集,共65份,包括: 电子认证服务在云安全与数据安全领域的研究与实践; 安全赋能数据开放-激活数据价值; 产业互联及数字化趋势下的安全业务架构; 城市数字化转型; 传统金融业务与互联网金融并存模式下的数据安全设计; 从大数据征信视角谈个人金融信息保护; 从数据安全到业务安全; 从数据安全角度出发重新审视密码学; 促进数据生产要素发展.解构大数据安全框架; 大数据协同安全技术研究与实践; 大数据智能安全; 等级保护与数据安全; 滴滴APP隐合规实践; 对数据安全治理的思考; 个人金融信息保护; 工业互联网数据安全白皮书; 合规视角下数据脱敏效果的评估研究与实践; 后疫情时代券商数据安全体系的实践与展望; 互联网用户隐保护策略分析; 混合云场景数据备份技术发展趋势; 基于流量的敏感数据异常访问行为识别方法; 基于AI流量分析模型的数据安全解决方案; 技术能力闭环-提升数据安全; 金融安全与区块链分论坛.金融数据资产安全与价值挖掘; 金融数据安全.数据生命周期安全规范; 金融数据安全数据安全分级指南; 金融数据共享与安全解决方案; 金融行业电话防治和敏感数据保护; 金融业数据安全实践与思考; 利用虚拟现实技术.构建真实数字世界; 面向电网企业的零信任.数据安全实践; 面向电信行业的数据安全监管运营实践; 企业数据安全解决方案的实践; 企业数据安全体系建设; 数据安全-保障数据高效合理开发利用的基石; 数据安全白皮书; 数据安全标准及创新实践; 数据安全的几道防线; 数据安全法规及标准建设; 数据安全和治理解决方案和实践; 数据安全基因; 数据安全及其标准化; 数据安全技术体系建设实践; 数据安全治理; 数据供应链安全保障实战; 数据泄密新挑战; 数字化转型下数据融合开放的安全保障; 腾讯云数据安全中台; 网络空间治理体系.关键问题分析; 网站离线数据安全分析漫谈; 新基建中的关键领域安全剖析; 新技术形式下数据安全合规实践; 新一代数据泄露防护; 亚太区隐数据保护趋势探讨; 移动端数据防泄露技术; 移动互联网数据治理研究.数字广告反欺诈研究; 以数据为中心的安全治理实践; 隐保护实践; 隐与数据安全趋势与实践; 驭数而新.安全为本; 政务大数据测评经验分享; 智能终端隐防跟踪技术实践; 中国个人金融信息保护执法白皮书发布与解读; APP隐合规实践; PKI技术保障大数据安全
APP接口的安全设计
10-23
使用非对性算法和对称性算法实现了接口数据的传输安全
前端安全自查和加固
Spontaneous_0的博客
02-15 165
前端安全自查和加固
常用的前端4种请求方式
热门推荐
LXC的博客
09-08 1万+
一.GET请求: 前端页面: 第一种情况下: 第二种情况下: 后端代码: 对应第一种传输对象,接参方式: 若我们强行给对象添加@RequestBody注解,会发生如下错误: 第二种情形下: 我们取消用@PathVariable来接收前端发来的ID,情况如下: 结论:当前端发起GET请求时,若传递的是一个对象,则后端接收数据时,不需要用@RequestBody来转换JSON串,若传递的是一个具体的值或参数则后端服务器必须用@PathVari...
前端上传和下载文件时遇到的问题总结
FLY with WIND
11-09 1352
概要:项目中有时需要下载文件比如word或pdf时,一般是直接点击一个链接就可以直接下载,这一般是文件流的下载方式,但是有个缺点就是只要拿到这个文件流地址,在什么地方都可以直接下载,安全性不好,此时需要带上token进行验证,通过一个请求带上其token,然后把返回值进行文件流下载即可。我在做项目时,就遇到了这种情况,附件下载头部需要添加token。以下几个问题是我在做项目时上传附件以及下载附件时遇到的问题,以及总结的解决方法。 问题1:附件下载,如何需要通过请求,添加token校验? 解决方法:针对这
【面试必问】常见的前端安全问题&解决方式
wangluo12138的博客
03-14 340
我们不是要做一个能够解决问题的方案,而是要做一个能够 '漂亮地' 解决问题的方案
前端网络安全整理
qq_53058639的博客
02-08 684
其实前端不需要过硬的网络安全方面的知识,但是能够了解大多数的网络安全,并且可以进行简单的防御前两三个是需要的,可能你自己不想知道,但是面试官想让你知道,没办法。那就赶紧过来康康吧!哈哈...
网络安全创新大会CIS2020PPT全打包
08-17
主论坛 EvilEssid to bypass WIPS surveilled environments 中国网络安全产业推进及公共服务探索 智能终端隐私防跟踪技术实践 Deep X-Ray- 一种机器学习驱动的WAF规则窃取器 工业互联网车联网论坛 汽车网络安全守方之殇 浅析工业控制系统攻击 工控设备数字取证破冰之战 工业安全脆弱性评测与防护建设 金融科技论坛 AISecOps智能安全运营技术体系与实践 个人信息安全影响评估实践分享 建设新一代金融业智慧安全态势感知平台 攻防常态化下的企业安全运营体系实践分享 金融行业骚扰电话防治和敏感数据保护 新形势下金融行业的安全能力演进-数据化和服务化 设备指纹与闭环AI防欺诈引擎 CSO论坛 基于安全切面实现银行级默认安全 基于流量的敏感数据异常访问行为识别方法 一体化安全架构之路 感知可控,随需而变的应用 构建企业信息安全指数 数字转型与个人信息保护论坛 面向城市转型的数字信任体系建设研究 城市数字化转型与数据安全保障实践 愿加密与你同在 白帽live论坛 ATT&CK 红队战术漫谈 威胁情报挖掘浅谈 我的一键 getshell 代码开发之路 在代码中审计漏洞的世界 RedTeaming:主流杀软对抗之路 APP审计之白帽必杀技 云安全论坛 k0otkit:针对K8s集群的通用后渗透控制技术 网络安全等级保护2.0之云计算安全测评指标选取原则 面向实战的云安全体系构建与实践 人工智能与物联网前沿论坛 物流行业物联网安全体系构建及思考 AI模型的现实安全风险及应对 MTK安全启动大剖析 DevSecOps论坛 从DevSecOps看安全产品的自身安全 DevSecOps软件供应链安全的机遇与挑战 壹钱包安全开发体系3.0落地实践 赋能企业安全开发:DevSecOps最新标准解读 DevSecOps敏捷安全技术落地实践探索 Security By Default:MyBatis框架下SQL注入解决方案 黑灰产论坛 无处不在的黑色产业链 攻防论坛 网络攻防靶场的技术经验分享 钓鱼演练:基于攻防模式的人为因素风险教育 Red Teaming for Cloud:云上攻防 基于业务安全情报的攻防实践议题分享 甲方视角下的攻防演练部署 Attack in a Service Mesh
漫谈软件架构:APP架构总结
代码是贝多芬的音符
09-30 1832
App架构经验总结 架构因人而异,不同的架构师大多会有不同的看法;架构也因项目人异,不同的项目需求不同,相 应的架构也会不同。然而,有些东西还是通用的,是所有架构师都需要考虑的,也是所有项目都会有的需求,比如API如何设计?架构如何分层?开发环境和生产环境如何 分离?这几年,我负责研发过的App,有餐饮类的、社交类的、智能家居类的、电商类的、新闻媒体类的等等。当有了一定的经验之后,你总会...
前端角度看ajax如何保护接口的安全
diaolanbeng0962的博客
05-16 545
一、前言   在web中,使用Ajax调用API,撇开跨域不讲,怎么做安全验证,防止别的网站调用呢?假设没有做安全保障,任何用户都可以直接访问接口,这回暴露出极大的安全隐患。 二、后端怎么做?   1、一些接口强制用户必须登录,通过查看sessionId来做判别,没登录则不返回数据或者返回401或者403;   2、cookie校验+session;   3、通过判断refer...
前后端分离api安全php,如何保证API接口数据安全
weixin_34707242的博客
03-10 855
前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,也可以伪造请求去获取或攻击服务器;也对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。那我们怎么去解决这些...
App安全之网络传输安全
weixin_33905756的博客
04-18 1189
移动端App安全如果按CS结构来划分的话,主要涉及客户端本身数据安全,Client到Server网络传输的安全,客户端本身安全又包括代码安全和数据存储安全。所以当我们谈论App安全问题的时候一般来说在以下三类范畴当中。 App代码安全,包括代码混淆,加密或者app加壳。 App数据存储安全,主要指在磁盘做数据持久化的时候所做的加密。 App网络传输安全,指对数据从客户端传输到Server...
前端安全问题以及解决方案汇总
qq_40334370的博客
12-08 1387
前端常见的7个安全方面问题:1.iframe2.opener3.CSRF(跨站请求伪造)4.XSS(跨站脚本攻击)5.ClickJacking(点击劫持)6.HSTS(HTTP严格传输安全)7.CND劫持。
5分钟教你如何设计一个安全web架构
小杨互联网
11-16 1720
Xss就是javascript 脚本攻击,就是在表单提交的时候提交一个小脚本,因为浏览器默认是支持脚本的,所以写个小脚本不做处理的话问题就很大。不处理网页直接挂掉。如何防御?1,通过后台编写一个过滤器拦截所有getParameter参数 重写httpservletwrapp方法。2,通过工具类将参数特殊字符转换成html源代码保存。3,通过js检验过滤用户输入的 检查用户输入的内容中是否有非法内容。如(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;
前端安全问题及解决方案
似水流年QC的博客
06-29 1004
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。
应用软件安全方案
m0_74894510的博客
02-06 511
一、导语   作为三大入侵途径之一的“应用软件”,被用于入侵的频率非常高。   我们常用的Apache、Nginx、Tomcat、MySQL、SQL Server、Serv-U等大部分服务器软件,都有安全隐患,需要做好安全防护措施。   下面我们以Apache为例,讲解如何防御入侵。Apache是一款非常优秀的Web服务器软件,使用量一直占据世界第一位。虽然Apache很优秀,但安全问题却非常令人堪忧;即使Apache公司不断发布新版本试图解决安全威胁,仍然无法根除新漏洞的出现,让人防不胜防。   做为服务
app平台安全架构什意思?
最新发布
11-04
App平台安全架构是指在移动应用程序平台上建立和实施的一系列安全措施和框架。它旨在保护移动应用程序和用户的数据安全,防止恶意攻击和未经授权的访问。 首先,安全架构包括身份认证和访问控制。通过身份认证,平台可确定用户的身份和权限,并限制访问受限资源。访问控制确保只有经过授权的用户才能访问 app 平台和相关的数据。 其次,安全架构还包括数据加密和传输安全。敏感数据如用户个人信息或银行卡号等应进行加密存储和传输,以防止数据泄露和篡改。在数据传输过程中,使用安全的通信协议和加密技术,例如 TLS/SSL,确保数据传输的机密性和完整性。 第三,平台安全架构需要包括防止恶意软件和攻击的措施。这包括实时监测和分析应用程序的行为,以便及时发现并阻止恶意软件的存在。同时,防火墙、入侵检测和预防系统等也应该被实施,以保护系统免受黑客攻击。 此外,安全架构还应包括数据隔离和隐私保护。对于多租户的 app 平台,不同用户的数据应进行适当的隔离,防止数据交叉和泄露。还需要符合相关的隐私法规和最佳实践,保护用户的个人隐私信息。 总之,app平台安全架构是一个综合的安全系统,它包括身份认证、访问控制、数据加密和传输安全、防御恶意软件和攻击、数据隔离和隐私保护等措施,旨在确保app平台和用户数据的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值