导图社区 信息安全工程师(2版)移动应用安全
本章首先介绍了移动应用系统的组成及相关安全威胁,并分析了Android系统的组成与安全机制、iOS系统的组成与安全机制;然后简要归纳总结了移动应用App的安全风险问题,给出了其相应的安全保护措施、安全检测内容及工具;最后,以金融移动安全、运营商移动安全、移动办公安全为案例,给出了移动应用安全措拖实施参考。
本导图主要概括了网络信息安全的总体概述、体系架构、工作内容、思维的底层逻辑,可以构建学习者的思维框架,对网络安全知识体系有一个总体的认识,明白学习的方向。
本图从网络安全法、关键信息基础设施安全保护条例和保护要求标准的基础,全面概括出关键信息基础设施保护工作的主要内容,体系,为掌握关键信息基础设施奠定了基础,形成系统性认识。
这是一篇关于商用密码应用安全性评估的思维导图。本篇思维导图是按新实施的《密码法》主要介绍商用密码的概念、评估的内容和流程,明确密评的工作方案。
社区模板帮助中心,点此进入>>
论语孔子简单思维导图
《傅雷家书》思维导图
《童年》读书笔记
《茶馆》思维导图
《朝花夕拾》篇目思维导图
《昆虫记》思维导图
《安徒生童话》思维导图
《鲁滨逊漂流记》读书笔记
《这样读书就够了》读书笔记
妈妈必读:一张0-1岁孩子认知发展的精确时间表
第25章 移动应用安全需求分析与安全保护工程
25.1 移动应用安全威胁与需求分析
移动应用系统基本组成
移动应用(App)
通信网络(无线网络、移动通信网络、互联网)
应用服务端(相关服务器处理来自App的信息
25.1.1 移动应用安全分析
1. 移动操作系统平台威胁(iOS、Google)
移动应用的安全性依赖于移动操作系统
2. 无线网络攻击(通信内容窃听、假冒基站、网络域名欺诈、网络钓鱼)
3. 恶意代码(流氓行为、资源消耗、恶意扣费、隐私窃取、远程控制、诱骗欺诈、系统破坏、恶意传播)
4. 移动应用代码逆向工程(获取关键算法思路、窃取敏感数据)
5. 移动应用程序非法篡改
25.2 Android 系统安全与保护机制
25.2.1 Android 系统组成概要
Linux 内核层(Linux Kernel)
系统运行库层(Libraries 和 Android Runtime)
应用程序框架层(Application Framework)
应用程序层(Applications)
25.2.2 常见的威胁形式
APK重打包
更新攻击
诱惑下载
提权攻击
远程控制
恶意付费
敏感信息搜集
25.2.1 Android 系统安全机制
1. 权限声明机制(normal:不会带来实质伤害;dangerous:潜在威胁,如位置、消息;signature:统一签名的应用才能访问;signatureOrSystem:设备商使用)
2. 应用程序签名机制(APK 文件进行数字签名,安装的程序都必须拥有一个数字证书)
3. 沙箱机制(实现不同应用程序和进程之间的相互隔离 UserID)
4. 网络通信加密(SSL/TSL)
5. 内核安全机制(分区、Linux ACL)
25.3 iOS 系统安全与保护机制
1. IOS系统安全体系
核心操作系统层:提供本地认证、安全、外部访问、系统等服务
核心服务层:提供给应用所需要的基础系统服务
媒体层:提供应用中视听技术
可触摸层:触摸交互操作
2. IOS系统安全机制
安全启动链
iOS平台的安全依赖于启动链的安全
数据保护
数据的加密与保护机制
强制加密
地址空间布局随机化
代码签名
沙箱机制
25.4 移动应用安全保护机制与技术方案
25.4.1 移动应用 App 安全加固
1. 防反编译(程序文件进行加密、代码混淆:名字混淆、控制混淆、计算混淆)
2. 防调试(设置调试检测功能,以触发反调试安全保护措施)
3. 防篡改(数字签名、多重校验)
4. 防窃取(加密)
25.4.2 移动应用 App 安全检测
检测内容:
1. 身份认证机制检测
2. 通信会话安全机制检测
3. 敏感信息保护机制检测
4. 日志安全策略检测
5. 交易流程安全机制检测
6. 服务端鉴权机制检测
7. 访问控制机制检测
8. 数据防篡改能力检测
9. 防 SQL 注入能力检测
10. 防钓鱼安全能力检测
11. App 安全漏洞检测
检测工具:
进程注入工具 Inject
HijackActivity 劫持检测工具
Jeb 静态逆向分析工具
APK 反编译工具 apktool
抓包工具 Tcpdump/Wireshark
Android Hook 框架 Xposed
分析工具 Burpsuite
静态分析工具 Androguard
逆向工具 Android Killer
25.5 移动应用安全综合应用案例分析
金融移动安全
实施移动App安全开发管理
移动App网络通信内容安全加密保护
移动App安全加固
移动App安全测评
移动App安全监测
运营商移动安全
风险:
账号、密码窃取
漏洞利用
恶意代码
数据窃取
恶意刷量、刷单
拒绝服务攻击
计费SDK破解
社工库诈骗
移动办公安全
25.6 本章小结
