如何避免移动安全中的代码漏洞?

移动APP

传统的安全漏洞会经常出现在移动应用程序软件中,但是看起来我们却是在尝试验证Albert Einstein的荒唐定义:我们屡次做同样的事情却期待不同的结果。

在过去的几个月中,通过使用源代码分析工具,我发现无论是iOS系统还是Android系统中似乎都会出现如下所说的几十年之久的安全漏洞:

代码注入。包括SQL注入在内的广义攻击,它取决于插入代码并由应用程序执行。

会话固定。这是一种会话攻击,通过该漏洞攻击者可以劫持一个有效的用户会话。会话固定攻击可以在受害者的浏览器上修改一个已经建立好的会话,因此,在用户登录前可以进行恶意攻击。

路径访问,或者“目录访问”。该漏洞旨在访问储存在Web根文件外的文件或者目录。

弱密码,字符少、数字长度短以及缺少特殊符号。这种密码相对容易破解。

硬编码加密密钥,提供一种虚假的安全感。一些人认为在存储之前将硬编码密码分散可以有助于保护信息免受恶意用户攻击。但是许多这种分散是可逆的过程。

1990年的教科书上就出现过这些软件安全问题。实际上,早在1973年James Martin在其名为《计算机系统中的安全性、准确性和隐私》书中就提到过其中的一些概念。我们从原始的独立项目发展到客户机-服务器应用程序、网络应用再到如今的移动应用程序软件。然而,我们仍然被相同的安全问题所困扰。

那么,你将如何避免总是被这些周而复始的软件不安全问题困扰呢?在这我们将为您提供三种方法来加强移动应用程序的安全性。

1、使用性能好的源代码分析工具来查找源代码级别的缺陷,改善移动应用程序生命周期的整体质量。根据你的时间,再看看这些要求,通过老式的、手动源代码分析是不太可能找到所有问题。

2、不要仅仅依靠使用工具来解决问题。当你抛开技术因素,简简单单地以恶意用户的角度来查看移动应用程序时,你不可能发现非常明显的、容易被发现的漏洞。你需要意识到的最后一件事情就是,一些容易做到的事情会导致信息的暴露或者引起未经授权的访问。

3、学习一些优秀的讲述软件安全漏洞的项目如Open Web Application Security Project或者OWASP,以及如《24 Deadly Sins of Software Security》这样的书籍,确保团队中的每一位成员都意识到当他们不重视编码过程时都会出现什么样的错误。同样地,多留意下即将出版的OWASP移动安全项目和与此相关的内容如有关安全创意的移动安全学院,可以有助于解决移动应用程序中的特殊问题。

我怀疑DevOps或者移动ALM流程的任何改变是否将会解决这些基础的编码问题。实际上,如果你没有关注软件安全的基础问题,那么如今的业务需求以及信息系统的复杂性很可能使情况变得更糟糕。如果置之不理,这些缺陷问题也同样会出现在未来几年后发布的移动应用程序中。找寻出开发项目和QA流程的问题根源,解决这些问题,这是一件一劳永逸的事情。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量