说三道四技术文摘-感悟人生的经典句子
说三道四 > 文档快照

五个步骤,保护移动应用免受恶意攻击

HTML文档下载 WORD文档下载 PDF文档下载
很多开发者都错误地以为移动领域是很少受到攻击的,正是这种虚假的安全感导致一些开发者在防范措施上进行节省,而最后遭受的可能是很大的损失。关于如何保护应用免受攻击,作者以自身经验分享了五个应该注意的事项。

Apple CEO Tim Cook在今年六月的全球开发者大会上提到过,Apple公司已有900万注册开发者,相比去年增长了47%。这一数据告诉我们,越来越多的人将自己的技能和创造力投入到了这个行业之中,不过伴随着爆发式开发者和应用数量增长而来的是对这些应用进行恶意攻击。


很多开发人员错误地认为移动领域是不受攻击威胁的,就是这种虚假的安全感导致一些开发者在防范措施上节省成本,结果就会像今年早些时候的Fandango应用一样泄露了信息。事实上,移动应用是企业安全区域的入口点,它的安全和Web安全同样重要。

那着手这一问题要从何做起呢?Moki,一家专业从事移动应用安全及运营管理的公司,其CTO Jared Blake以自身的工作经验,与大家分享了保护应用程序的五个步骤:

1. 重新考虑安全性问题,并将它集成到开发过程中去

在安全方面最常见的错误就是,只把它当做进程中的一个单独步骤来做,其实安全应该是全面而又系统的。当开发者总是在应用开发的最后才去试图拼凑出一个安全方案,那么被攻击的缝隙就已经存在了。有很多开发者在自己固定的代码部分做的很好,但总会忘记去关注一下整个代码库。

2. 掌握基础知识

保护移动应用免受攻击,早期应该做的就是学习最基本的安全威胁是什么。在这里向大家提供一个很宝贵的资源,Open Web Application Security Project (OWASP)报告,它详细的介绍了对移动应用最具攻击性的十大安全威胁,而且每年都会进行更新。这对新开发人员很重要,也许看起来很基本,但根据OWASP给出的建议,可以让你知道更多你应该采取的措施。

3. 使用可靠的安全方案。

不要试图想要自己重新来过,所有主流操作系统都有经NIST认证并由专家审核过的加密框架。开发者如果想要打造自己的方案,大多都会以常受攻击而结束。

4. 保护静态数据

处理静态数据可能是一个很容易受到攻击的状态,特别是你在收集一些敏感数据时。其实关于避免静态数据受到攻击有多个选择,比如随时擦除数据、关掉任何在你产品环境中用不到的部分,以及实现一个非对称加密的解决方案。后者是可以确保静态数据时安全的,作为能解密数据的私钥是永远不会在设备上呈现的。

5. 证书验证

Apple的iOS 7和OS X的“goto fail”bug给开发者好好上了一课,这个不过绕过了SSL验证。尽管使用SSL很重要,但如果你不能确保你的证书的话,也就没那么重要了。所以,你要确认自己确实已经验证了证书,从源头上避免在请求的时候就受到攻击。

文章来源:drdobbs

(编译/刘璐璐 责编/唐小引)

微软妥协Android?向该平台推开源Office 365 SDK 中国云计算大会PPT集萃(一):众多名家分享技术挑战与行业趋势 速度是现在的10000倍,出自物理学家之手的新型电脑 逗你玩?淘宝开放平台从4月1起开始全面收费 出现编程疲劳?千万别纠结 大牛门近来看两段程序好吗?小弟不是很懂啊!!! 关于Dbcombobox的问题 多线程让事件机制和消息传递同时作用 在使用微软Java包时,遇到的问题. jbuilder9 与 websphere5.0 如何整合?请各位高手不啬指点一二 , 急急急 , 在线等 一个关于安装oracle数据库的问题? ??如何用vc取得一个http地址的请求的内容?急需!!! 关于一个.java文件中只允许有一个public类的请教? 机房局域网共享上网如何设置? 求马哲论文内容:选题依据,运用主要原理,实践时间, 求篇马哲论文在线等~ 求马哲论文(在线等)```从普遍联系的角度谈谈建设 关于马哲的论文最好是比较新颖的 奥数全称 奥数全称什么我是你们的好朋友,金龟子 小张在计算有余数的除法时,把除数113错写成131 奥数属于奥林匹克吗如果 有,出三十到,答的好另外加 过氧化氢和二氧化锰制氧时用锥形瓶的优点是什么? “透明化”监听时代可能会来CNN同情恐怖分子外交部强烈不满北京青年驾着帆船去南极结婚【高清组图北约演习太逼真曾险些引发核战世界俄罗斯人民大会授予普京捍卫大国地探秘“海上博物馆”王品集团旗下“鹅夫人”摘星米其林美接连发生两起枪案5死8伤台球春风,久违了上海 厢房富贵病防治手册天心残说杀篮十三饰混乱神界清泉寺旅游绥远将军府旅游安家沟旅游元宝山旅游鸡鸣驿旅游
备案号:鲁ICP备13029499号-2 说三道四 www.s3d4.cn 说三道四技术文摘