摘要:很多開發者都錯誤地以為移動領域是很少受到攻擊的,正是這種虛假的安全感導致一些開發者在防范措施上進行節省,而后遭受的可能是很大的損失��。關于如何保護應用免受攻擊����,作者以自身經驗分享了五個應該注意的事項。
Apple CEO Tim Cook在今年六月的全球開發者大會上提到過�����,Apple公司已有900萬注冊開發者�,相比去年增長了47%���。這一數據告訴我們,越來越多的人將自己的技能和創造力投入到了這個行業之中,不過伴隨著爆發式開發者和應用數量增長而來的是對這些應用進行惡意攻擊。
很多開發人員錯誤地認為移動領域是不受攻擊威脅的�,就是這種虛假的安全感導致一些開發者在防范措施上節省成本���,結果就會像今年早些時候的Fandango應用一樣泄露了信息���。事實上�,移動應用是企業安全區域的入口點�,它的安全和Web安全同樣重要。
那著手這一問題要從何做起呢?Moki,一家專業從事移動應用安全及運營管理的公司��,其CTO Jared Blake以自身的工作經驗�,與大家分享了保護應用程序的五個步驟:
1. 重新考慮安全性問題,并將它集成到開發過程中去
在安全方面常見的錯誤就是,只把它當做進程中的一個單獨步驟來做���,其實安全應該是全面而又系統的��。當開發者總是在應用開發的后才去試圖拼湊出一個安全方案��,那么被攻擊的縫隙就已經存在了���。有很多開發者在自己固定的代碼部分做的很好����,但總會忘記去關注一下整個代碼庫��。
2. 掌握基礎知識
保護移動應用免受攻擊�,早期應該做的就是學習基本的安全威脅是什么���。在這里向大家提供一個很寶貴的資源��,Open Web Application Security Project (OWASP)報告�,它詳細的介紹了對移動應用具攻擊性的十大安全威脅���,而且每年都會進行更新���。這對新開發人員很重要��,也許看起來很基本���,但根據OWASP給出的建議����,可以讓你知道更多你應該采取的措施�����。
3. 使用可靠的安全方案。
不要試圖想要自己重新來過�����,所有主流操作系統都有經NIST認證并由專家審核過的加密框架�����。開發者如果想要打造自己的方案���,大多都會以常受攻擊而結束。
4. 保護靜態數據
處理靜態數據可能是一個很容易受到攻擊的狀態��,特別是你在收集一些敏感數據時。(APP開發制作訂制)其實關于避免靜態數據受到攻擊有多個選擇,比如隨時擦除數據、關掉任何在你產品環境中用不到的部分�,以及實現一個非對稱加密的解決方案。后者是可以確保靜態數據時安全的�,作為能解密數據的私鑰是永遠不會在設備上呈現的�。
5. 證書驗證
Apple的iOS 7和OS X的“goto fail”bug給開發者好好上了一課�,這個不過繞過了SSL驗證。盡管使用SSL很重要�����,但如果你不能確保你的證書的話,也就沒那么重要了����。所以���,你要確認自己確實已經驗證了證書�,從源頭上避免在請求的時候就受到攻擊。
文章來源:drdobbs
本站文章版權歸原作者及原出處所有 ��。內容為作者個人觀點, 并不代表本站贊同其觀點和對其真實性負責�����,本站只提供參考并不構成任何投資及應用建議���。本站是一個個人學習交流的平臺�����,網站上部分文章為轉載��,并不用于任何商業目的��,我們已經盡可能的對作者和來源進行了通告,但是能力有限或疏忽,造成漏登���,請及時聯系我們���,我們將根據著作權人的要求�,立即更正或者刪除有關內容����。本站擁有對此聲明的最終解釋權����。
