互联网企业安全高级指南读书笔记之移动应用安全

最新推荐文章于 2020-09-27 18:17:33 发布
最新推荐文章于 2020-09-27 18:17:33 发布
阅读量286 收藏
点赞数
分类专栏: 读书笔记 互联网企业安全高级指南读书笔记 文章标签: 互联网企业安全高级指南 读书笔记 移动应用安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tan6600/article/details/79824828
版权

互联网公司的安全体系基本上以运维安全、应用安全、业务安全三管齐下

签名管理

对于应用开发方,应该保护好本公司用于应用签名的私钥,推荐的解决方案是建立签名服务器,开发者上传需要签名的应用,服务器完成签名提供下载。这样可以对申请应用签名的人员进行权限控制,并包含日志记录,保存上传应用副本等功能,这样做的好处是降低私钥泄漏的风险

同一家公司内的应用推荐使用相同的签名密钥,避免不同的应用使用不同的签名

应用沙盒与权限

安卓和 iOS 其中重要的一点是通过沙盒对各应用间的权限隔离,并在限定应用行为边界后,通过按需申请应用权限的方式规范各应用的行为

是如何实现沙盒的?安卓和 iOS 内核都源自 *nix 类系统内核,对应用沙盒的技术实现都是基于操作系统提供的用户机制。每个在系统上安装的应用,如果没有特殊设定(SYSTEM 或者安卓中 SHARED-UlD 模式),都会有系统分配给应用一个独特的用户 ID(UID),单凭该 UID,应用无法使用任何应用外的设备资源。只有当应用在安装时预先申请
了某些系统权限后,才会被准许进行权限对应的操作

安全评估

代码审计

iOS 开发 Xcode 环境可使用整合的 Clang Static Analyzer,而安卓 Java 代码可以使用 FindBugs 来完成代码安全审计

应用加固

目前有一些在线的应用安全加固服务,用户上传需要加固的应用,服务器接收应用从安全、逆向、调试难度等方面对应用进行评估

PolluxAvenger
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
互联网企业安全高级指南》笔记 —— By Kun_Sigma(2)
06-21
互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 《互联网企业安全高级指南》笔记 --最好的
12.企业安全建设指南(金融行业安全架构与技术实践) --- 移动应用安全
enlyhua的专栏
07-26 391
第12章 移动应用安全 12.1 概述 从 通信安全性,键盘输入安全性,客户端运行时安全性,客户端安全防护,代码安全性,客户端业务逻辑安全性。 建议采用更加安全的 app 加固解决方案,同时增加应用分发渠道监控,第一时间监控盗版,篡改应用发布上线;增加应用自身完整性校验功能,检测到应用被 篡改后,及时提醒用户卸载非法应用或者自动进行更新修复。 12.2 APP开发安全 12.2.1 AndroidManifest配置安全 每个android应用的根目录都必须有一个 AndroidManife.
NIST发布企业移动应用安全建议参考指南
weixin_33830216的博客
09-01 209
美国商务部的美国国家标准与技术研究院(NIST)发布了最新指南,旨在帮助企业提高移动设备使用的安全性,越来越多的员工开始使用智能手机和平板电脑等移动设备来用于工作。 这个《审查移动应用安全(Vetting the Security of Mobile Applications)》为各行各业(包括医疗保健)提供了评估移动应用程序相关的安全和隐私风险的建议...
高质量解读《互联网企业安全高级指南》三部曲(技术篇)——移动应用安全
天天water的专栏
09-27 4192
前言: 高效读书,一张逻辑图读懂、读薄书中重点。 注:下面文字只是对逻辑思维图的”翻译“,节省时间,只看图即可。 移动应用安全逻辑思维图 1. 说明 1.1. 互联网公司的安全体系基本上以运维安全应用安全,业务安全三管齐下。而移动应用安全则在应用安全中占据半壁江山,尤其对于移动端产品为主的公司而言,SDL的主要实践对象就是移动应用 2. 背景 2.1. 随着智能手机和其他移动设备的爆发式普及,移动应用已成为互联网公司业务重要的业务方向。本章中会以移动两大平台之一的安卓...
互联网企业安全高级指南读书笔记之隐私保护
不急不躁
04-05 386
数据加密 TDE 透明数据加密 TDE 可对数据和日志文件执行实时 I/O 加密和解密,这种加密使用数据库加密密钥(DEK),该密钥存储在数据库引导记录中以供恢复时使用。DEK 是使用存储在服务器的 master 数据库中的证书保护的对称密钥,或者是由 EKM(扩展密钥管理模块)保护的非对称密钥。TDE 保护对象为静态数据(相对于内存中的热数据而言),即数据和日志文件,开发人员可以使用 A...
移动互联网应用开发课堂笔记,web应用开发必备
08-15
移动互联网应用开发这门课,老师的课堂笔记,学生复习的宝藏资料,也是web应用开发非常好的参考资料
企业移动办公的六大安全风险与应对实践
02-25
随着移动计算时代的到来,在家办公、异地办公和远程办公等词汇开始逐渐成为“移动办公”的各种表现形式,信息数据和计算终端走出企业安全边界是不可争议的趋势。现今的差旅人员总得随身带着平板设备或智能手机,...
Python 练手程序合集(一)
热门推荐
不急不躁
01-28 2万+
一、百钱百鸡 公鸡5文钱一只,母鸡3文钱一只,小鸡3只一文钱,用100文钱买一百只鸡,其中公鸡,母鸡,小鸡都必须要有,问公鸡,母鸡,小鸡要买多少只刚好凑足100文钱。# encoding: utf-8x = 1 y = 1while x <= 20: while y <= 33: z = 100 - (x + y) if (z % 3 == 0) and (
Flask Web 开发学习稿(一)
不急不躁
05-31 1万+
好久没有更新过了,把这些日子搞的东西先放一波出来 这个学习笔记未必会包含全部章节,有时会将两个章节进行合并第一章 安装1.1 使用虚拟环境虚拟环境是 Python 解释器的一个私有副本,可以安装私有包而不影响全局 Python 解释器 Python 3.3 通过 venv 模块原生支持虚拟环境,命令为 pyvenv 。不过在 Python 3.3 中使用 pyvenv 命令创建的虚拟环境不包含
腾讯 2016 春招笔试(伪)权威解析
不急不躁
06-04 1万+
这篇文章的原文在:原文地址 1、应用程序开发过程中,下面哪些开发习惯可能导致安全漏洞? 在程序代码中打印日志输出敏感信息方便测试(√) 在使用数组前判断是否越界 在生成随机数前使用当前时间设置随机数种子(√) 设置配置文件权限为rw-rw-rw-(√) 只说一下第三个吧,给出篇文章随机数是骗人的 这篇文章中提到的另一篇文章我也给出链接,省去大家查找的时间当随机不够随机:一个在线扑克游戏...
Flask Web 开发学习稿(二)
不急不躁
05-31 7304
第四章 Web 表单request.from 能获取 POST 请求中提交的表单数据 Flask-WTF 扩展可以把处理 Web 表单的过程变成一种愉悦的体验4.1 跨站请求伪造保护默认情况下,Flask-WTF 能保护所有表单免受跨站请求伪造的攻击,为了实现 CSRF 保护,Flask-WTF 需要程序设置一个密钥,会使用这个密钥生成加密令牌,再用令牌验证请求中表单数据的真伪 设置密钥的方法如
2017-百度-安全岗笔试
不急不躁
03-10 5706
2017_baidu_spring_1 请回答如下端口默认对应的服务,以及在渗透测试过程中我们可以从哪些角度考虑其安全问题。 端口:21、22、873、1433、3306、6379、11211 端口服务说明 21FTP匿名访问\弱口令 22SSH弱口令 873rsync未授权访问\弱口令 1433mssql弱口令 ...
Flask Web 开发学习稿(三)
不急不躁
05-31 5641
第六章 电子邮件当我们需要在特定事件发生时提醒用户,包装了 smtplib 的 Flask-Mail 扩展能更好的和 Flask 集成 安装 pip install flask-mail Flask-Mail 连接到 SMTP 服务器,如果不进行配置,Flask-Mail 会连接 localhost 上的端口 25 配置 默认值 说明 MAIL_SERVER localhost
《Wireshark数据包分析实战》读书笔记
不急不躁
08-23 4018
1、OSI参考模型中的特殊功能: 表示层(第六层):进行用来保护数据的多种加密和解密操作。 会话层(第五层):负责以全双工或者半双工的方式来创建会话和关闭连接。 传输层(第四层):提供面向连接和无连接的网络协议,某些防火墙和代理服务器也工作在这一层。 网络层(第三层):数据在物理网络中的路由转发,路由器工作在这一层。 数据链路层(第二层):提供通过物理网络传输数据的方法,网桥和交换机工作
Python 练手程序合集(三)
不急不躁
02-01 3834
六、协同过滤Slope One是一个可以用于推荐系统的算法,在只有很少的数据时候也能得到一个相对准确的推荐,而且算法很简单, 易于实现, 执行效率高,由此衍生的还有加权 Slope One 算法、双极 SlopeOne 算法(BI-Polar SlopeOne)将用户对于其的厌恶程度也引入打分机制中,下面简单解释一下 Slope One 算法的原理: 用户 东西一 东西二 张三 5
2017-滴滴出行-安全岗笔试
不急不躁
03-07 3581
1 下面对于 Cookie 的描述中错误的是? A Cookie通过HTTP Headers从浏览器端发送到服务器端并存储在服务器端 B Cookie的大小限制在4kb左右,对于复杂的存储需求来说是不够用的 C 如果在一台计算机中安装多个浏览器,每个浏览器都会以独立的空间存放cookie D 由于在HTTP请求中的Cookie是明文传递的,所以安全性成问题 参考答案:A Cook...
2017-美团大众点评-安全工程师A/B卷
不急不躁
03-08 3024
1、在 php + mysql + apache 架构的web服务中输入GET参数 index.php?a=1&amp;a=2&amp;a=3 服务器端脚本 index.php 中$GET[a] 的值是? A 1 B 2 C 3 D 1,2,3 参考答案: C 2、以下哪些不是CSRF漏洞的防御方案? A 检测HTTPreferer B 使用随机token C 使用验证码 D ...
Python 练手程序合集(二)
不急不躁
01-29 2990
三、猴子吃桃猴子第一天摘下若干个桃子,当即吃了一半,还不过瘾就多吃了一个。第二天早上又将剩下的桃子吃了一半,还是不过瘾又吃了一个。以后每天都吃前一天剩下的一半再加一个。到第10天刚好剩一个。问猴子第一天摘了多少个桃子? 递归版本# encoding: utf-8def peach(day, number): if day == 10: return number r
Java ee 企业应用 核心笔记
最新发布
09-07
Java EE(Java Enterprise Edition,即Java 企业版)是一套用于开发企业应用程序的Java平台规范,它提供了可靠、可扩展、安全、跨平台的应用开发解决方案。 Java EE 核心笔记主要包含以下内容: 1. 基础概念和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值