- 综合排序
- 最热优先
- 最新优先
- 来自专栏finclip小程序ide
浅析App安全架构之前端安全防护
Gartner 对安全架构的定义是:安全架构是计划和设计组织的、概念的、逻辑的、物理的组件的规程和相关过程,这些组件以一致的方式进行交互,并与业务需求相适应,以达到和维护一种安全相关风险可被管理的状态。 因此,安全架构的概念非常宽泛,包括安全控制措施、安全服务(例如身份验证、访问控制等)和安全产品(例如防火墙、入侵检测等)。 其中Web前端的安全是众多安全防护工作中的一个重要分支,所以文章聚焦在安全架构中的前端安全防护范畴。 对于此类威胁,安全设计方案是:1)App中大部分是web或者小程序类轻应用,可以采用市面上的安全沙箱类技术(如:FinClip),对应用进行统一的上下架管理。 APP 端业务安全为了防止 APP 用户恶意注册及薅羊毛等恶意行为,可以在 APP 中加入设备指纹,进行数据埋点等,将 APP 数据接入业务风控平台,进行业务反欺诈。
1.1K60编辑于 2022-11-25 - 来自专栏小游戏开发
干货|小程序与app的安全架构比较
随着小程序的流行,小程序的各个方面都是开发者讨论的热点,其中免不掉说到安全,因为安全已经成为了一个非常重要的问题。在这篇文章中,也准备探讨下小程序的安全架构,以了解小程序如何做到安全保障。 小程序的安全架构先说说小程序自身的安全架构,小程序的安全架构由应用程序层、客户端层、服务层和数据存储层多个层次组成,具体来讲:1、应用程序层这是小程序的前端,也是用户最经常接触到的部分。 小程序的安全特性小程序具有安全系数高、隐私安全好、身份验证严格等安全特性,这也是小程序为何能够广被开发者和用户欢迎的缘由之一,特别是小程序基本上都运行在微信、支付宝、百度、抖音等大企业的超级 app 中 小程序需要实现网络安全防御和应急响应计划等技术来保护网络安全。同时,在小程序技术瓶颈的持续突破下,小程序有了一个更加安全的选择:在自身 App 中搭建一套小程序框架。 目前,很多企业都搭建了自身 App 的小程序框架,效果也确实不错,例如 FinClip ,这种企业自己部署的小程序架构能够在安全保障上有更加明显的效果。
1.7K00编辑于 2023-05-17 - 来自专栏tea9的博客
app安全检测
六、日志安全 Logcat Security 在APP的开发过程中,为了方便调试,通常会使用log函数输出一些信息,这会让攻击者更加容易了解APP内部结构,方便破解和攻击,甚至有可能直接获取到有价值的隐私敏感信息 Static Analysis 静态分析作为逆向分析破解app最为常见手段,如果app没有经过任何安全保护,可以说通过静态分析可以分析任何你需要的东西,导致非常严重的危害。 修复方法: 对抗静态分析最好办法就是对app进行安全加固。 hook Hook技术作为一种非常流行的注入手段越来越多的用来进行逆向分析和破解。 当我们自己的app被hook时候,很多敏感信息甚至是工作流程都会受到严重的危害,所以对于移动安全防hook也是至关重要的。 代码: 通过xposed框架Hook微医用户版app,可以查看到不少进程已经注入到app中,对app的安全危害极大: 图片涉密 ps | busybox grep com.xx 通过cydia substrate
3.8K10编辑于 2023-03-08 - 来自专栏游戏安全攻防
App安全测试
APP安全威胁 在App项目中都会碰到三座App安全大山。App客户端安全、数据传输安全、App服务端安全。下面以分析检测的思路进行对App安全威胁的这三座大山进行一些剖析梳理总结。 所以该App的反编译这项是相对安全的。 本地数据安全检测 App本地数据安全性问题需要关注的问题分别为:App所在目录的文件权限、SQLite数据库文件的安全性、敏感数据明文直接存储Sdcard。 App服务器安全 App服务端安全需要关注的是服务端API安全、业务逻辑安全、中间件安全、服务器应用安全。主要可以通过渗透测试的方式对App的服务器进行安全检测,通过模拟恶意攻击方式进行对服务器攻击。 从而提高App服务器的安全性。
3.9K31发布于 2021-09-02 - 来自专栏Android群英传
App安全二三事
为什么要安全 现在几乎所有App都是网络强相关的,客户端展示的很多东西都是通过接口从服务器上获取的,当然,服务器也会接收大量从客户端上传的数据,这两端在进行双向通信的时候,就很容易被第三方截获,导致数据被盗取 App的移动安全主要包括下面几种: 密钥破解,导致本地加密数据被盗取 通信密钥破解,导致接口数据被盗取 伪造接口数据上报 接口签名被破解,导致接口可以被重放攻击 那么归结起来,实际上就是这样几种模式: 成本最低,而且可以比较有效的扼杀一些在破解边缘徘徊的初级破解者,让他们能够悬崖勒马,浪子回头,然而,对于真正想要破解的人来说,混淆只等于加大了一点阅读难度而已,相信做开发的同学基本上也都反编译过别人家的App 当然Google也总是后知后觉,在各种厂商提供了TrustZone/TEE硬件加密方案后,Google也推出了Keystore,当然,最低要API26才能使用,所以在现在来说,几乎不会有App能做到最低版本 TCP加密 目前大部分的App都是通过Http来进行数据交互,但基于TCP,我们可以实现自己的通信协议,另外,利用TCP包的无序性来增加破解的难度,这样,利用TCP心跳来维持一个安全的通信通道,也是一个非常不错的方案
1.2K20发布于 2018-07-20 - 来自专栏游戏安全攻防
APP安全合规
背景介绍 APP安全合规的监管机构:APP违法违规收集使用个人信息治理工作组(APP治理小组)、工业和信息化部信息通讯管理局(工信部)、国家移动互联网应用安全管理中心(病毒中心)、地方通信局、地方网安 APP应用安全合规需要关注问题 在开发并上架APP项目时需要重点关注:程序自身保护安全、运行环境安全、身份认证安全、数据存储安全、内部组件安全、恶意攻击安全这六大问题。 ? APP如何做好基础防护? 为了让我们开发的APP能过安全合规检测,我们需要重点关注如下五点,让我们的APP更加安全。 ? APP安全合规建设的思考 安全开发人员:熟悉负责的产品功能、了解个人 信息采集、使用和展示定制个人隐私政策,并对组员以及APP开发团队进行安全合规的要求以及做法进行做宣传以及安全合规应用和监督把控。 软件开发人员:熟悉了解APP应用客户端安全合规所涉及的技术信息,避免出现安全漏洞。 QA:根据安全合规的标准进行做验证测试,严格把控APP安全质量,守好APP应用上架的最后一道防线。
2.9K21发布于 2021-06-10 - 来自专栏FreeBuf
APP安全检测手册
前言 随着运营商新技术新业务的发展,运营商层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、业务逻辑及APP等方面的挑战。 随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的安全性将面临越来越多的挑战。 为有效的针对上述各种威胁进行有效防范,保障运营商和客户的业务安全,本手册将着重从下表所列项目针对APP应用(安卓)安全进行检测。 APP应用安全测试要点(安卓) 客户端安全 APK签名 进程和内存保护 内存访问和修改 反编译保护 动态注入 应用完整性校验 通信安全 通信加密 组件安全 证书有效性 敏感信息安全 数据文件 10.1.4 安全建议 1、基础安全架构,完善用户权限体系。
5.7K42发布于 2020-05-26 - 来自专栏TechBox
iOS App 安全测试
一、数据存储安全 主要从以下几个方面考虑 Sandbox 数据存储 Keychain 数据存储 Console Log 数据 Keyboard 缓存 1. Sandbox 数据存储 (1) Sandbox 文件存储结构 SubDirectory Description AppName.app 存储 app 执行文件和静态资源文件,改文件夹为只读 Documents App的配置文件等,该文件夹的内容会被同步到backup文件中 Library Application support files Library/Preference App specific preferences Keyboard cache 二、 数据通信安全 测试工具: BurpSuite 安装和使用请参见http://docs.alibaba-inc.com:8090/pages/viewpage.action :application:openURL和application:handleOpenURL 测试点: openURL的方法实现中有没有对传入的URL参数做校验 openURL有没有校验URL来源是否安全
8.5K40发布于 2018-06-05 - 来自专栏游戏安全攻防
APP应用安全检测
背景 目前APP发包上架的流程前,免不了需要对APP应用安全检测这个重要且必不可少的步骤流程,APP应用安全检测大部分采用采购第三方的APP安全检测产品(因为这块技术基础储备),也有部分企业基于开源的移动安全框架 (MobSF)进行二次开发APP安全检测产品(采购第三方产品费用太高),也有部分安全团队基于团队的技术储备进行基于逆向第三方APP安全检测产品进行开发自研的APP安全检测产品(采购第三方检测产品)。 APP安全监管部门主要有:网信办、各地区网安、工信部、市场监督总局。 APP自身安全检测 APP自身安全检测主要检测APP是否采用第三方加固产品进行加固或者有对APP进行做保护。 总结 APP安全检测主要在两方向检测,一个APP自身安全性方面检测,一个是合规性检测。 APP自身安全性检测的一个很重要的检测在于APP是否进行采用第三方加固产品进行对APP检测。
4.2K30编辑于 2022-03-31 - 来自专栏正则
架构之路 (二) —— APP架构分析(一)
回顾 上一篇主要讲述了苹果原生iOS框架的架构,这一篇我们就说一下如果自己要完成一个APP,需要如何去设计架构。 架构设计结构上划分 我们说APP的架构设计,但是架构设计需要我们怎么在结构上进行划分呢?可以按照下面进行划分。 网络设计方案 这里包括对网络层很好的设计和封装,让工程师可以方便安全的调用,同时也要保证用户在各种网络环境下有很好的体验。 架构模式的选择 前面根据需求对框架的架构分类,可以分为三层结构甚至四层结构,这里就说一下架构模式,可以说架构模式是架构实现的方式。常见的有MVC、MVVM和VOPER等。 好的架构模式可以让模块功能更清晰,维护起来也很方便。 下面就一起看一下这几种架构模式: 1.
2.6K10发布于 2021-09-04 - 来自专栏QA一隅
App安全测试—Android安全测试规范
备注:allowBackup属性未配置时默认为true debuggable开启 用例风险:当debuggable标志值为true时,即表示是App可调试的,存在安全泄露风险。 本地数据库注入/文件遍历检测 安全风险:获取或者篡改app中存储的敏感信息,如手机号、账号、密码等,在业务运行操作时无法保证数据安全。 WebView组件安全测试 WebView是Android系统提供能显示Web页面的系统控件,例如混合类型的App中H5界面就是使用了WebView组件。 数据的完整性进行校验 安全风险 App向服务器提交的数据易被中间人篡改,对用户数据的完整性造成影响,如用户信息被破解利用等问题。 键盘劫持测试 安全风险: 攻击者可以通过劫持键盘窃取用户输入数据,可能带来用户账号密码、敏感数据等泄露的风险,特别是银行金融类App。
6.3K42发布于 2021-08-09 - 来自专栏网络安全观
网络安全架构 | 安全架构公理
指南的受众是安全架构师,或对安全架构感兴趣的人。笔者如获至宝,对20条公理,分别做了极简摘录,可谓字字珠玑、句句经典。 TOGAF(开放组织架构框架)是最知名的企业架构(EA),SABSA(Sherwood业务应用安全架构)是最知名的安全架构。而该指南恰恰是由管理维护这两大架构的组织,共同联合推出。 20条安全架构公理,是从安全学科的几十年安全架构实践经验中提炼出来的,是对永恒安全主题的升华,是对完美理想主义的陈述。无论数字技术和威胁如何发展演进,它们都是具有广泛适用性的永恒声明。 ) 安全架构公理 01 公理1:业务风险驱动安全 安全架构应通过最大化收益和最小化损失来支持业务目标。 如果安全架构无法支撑组织利用其资产来完成业务工作,则该安全架构可能被边缘化和显得无用。 安全架构应基于业务风险驱动,并且应该是对这些风险进行适当响应。 02 公理2:场景 不要虚构场景,否则后果自负。
1.8K10发布于 2021-02-24 - 来自专栏flutter开发精选
Flutter App架构:领域模型
❝Flutter App架构:Repository 设计模式 ❞ 在Data Layer之上是「Domain」和「application」 Layer,这两层是业务逻辑和模型的关键部分。 ,就需要实现这些实体类,并决定它们在App架构中的位置。 所以我们需要在架构中引入domain layer。 Domain Layer 我们再看看我们的app架构图: 如图所示,models正是在domain layer,它所处的位置是承上启下,能从下层 data layer获取数据,并且被上层的services 增加单元测试验证业务逻辑 当你做到以上内容,并且思考哪些内容是和用户有关系并且需要在页面上展示的,你的App可能就是一个好用的app了。
1.9K20编辑于 2022-09-20 - 来自专栏Owen's World
APP接口安全设计要点
总结了一些APP接口安全设计的要点供大家参考,如有疏漏请在评论里面提醒补充!
2K20编辑于 2021-12-08 - 来自专栏测试开发技术
APP 安全测试项总结
三、软键盘劫持 如果用户安装了第三方键盘,可能存在劫持情况,对此,我们在一些特别敏感的输入地方可以做检查,例如金融类APP登录界面的用户名密码输入框等,看是否支持第三方输入法,一般建议使用应用内的软键盘 5.2、关键连接是否使用安全通信,例如HTTPS。在获知接口设计后我们需要评估是否其中内容包含敏感信息,如果未使用安全通信,需要知会开发修改。? 5.3、是否对数字证书合法性进行验证。 六、组件安全测试 这里主要是指Android平台各个组件是否能被 外部应用恶意调用从而带来一些安全问题。 3)对App的输入有效性校验、认证、授权、数据加密等方面进行检测 4)限制/允许使用手机功能接入互联网 5)限制/允许使用手机发送接收信息功能 6)限制或使用本地连接 7)限制/允许使用手机拍照或录音 7)应用程序应考虑或者虚拟机器产生的用户提示信息或安全警告 8)应用程序不能忽略系统或者虚拟机器产生的用户提示信息或安全警告,更不能在安全警告显示前,利用显示误导信息欺骗用户,应用程序不应该模拟进行安全警告误导用户
90210编辑于 2024-04-30 - 来自专栏架构之家
应用架构、技术架构、安全架构、部署架构
在日常软件项目开发与实施中,经常会涉及到各种架构图,如应用架构、技术架构、安全架构、部署架构。今天特意将这些架构图整理如下,提供给大家进行学习参考。 一、应用架构 二、技术架构 三、安全架构 四、部署架构 五、 有需要的同学,可以访问下面地址进行克隆,学习更多内容请访问: https://www.processon.com/u/5f633168e0b34d080d54c128
6.7K32编辑于 2022-12-28 - 来自专栏FreeBuf
企业安全体系架构分析:开发安全架构之综合架构
业务架构与安全架构的综合分析才是一个综合架构应该考虑的事情。那么如何做到鱼与熊掌兼得? ? 这里涉及一个问题,业务架构应该是什么样子的? 针对运维与业务的特性,综合考虑这些情况,加之安全架构特性,设计安全逻辑架构图如下: ? ,但是很少有文章会阐述为什么要建立安全体系架构,其实安全体系架构是一个企业在安全方面的综合实力体现,从管理到落实,安全体系架构不仅仅是提高了业务的安全性、合规性,更是企业实力与底蕴的体现,举个例子,我所在的是一家互联网金融公司 ,对数据安全极为重视,毕竟跟钱打交道的安全性一定不能差,那么在项目洽谈的时候合作方都会问:你们的安全架构是怎样? 怎么保证合作中数据的安全 等等,这时候一套标准的安全体系架构设计图或者分析报告建设报告给到对方,对方会觉得在安全方面真的是下功夫,而且比较专业,合作的意向也就会多一些。
1.1K31发布于 2019-07-29 - 来自专栏安恒信息
E安全App 2.0越级版App Store正式上线
虽然网络与信息安全的从业者越来越多,线上、线下的活动也越来越多,但到目前为止,还没有一款真正面向信息安全专业学生、从业者、爱好者的手机APP软件。 E安全App今日迎来全新2.0越级版,让用户轻松“掌握”信息安全。E安全2.0越级版更新了全新界面。新的界面带来的新图标简单严谨,更加直观,增加了一些人性化的界面设置。 ,同时通过E安全App安全课程和安全课程栏目,用户也可以实现随时随地在线学习各类信息安全课程,为用户提供更为方便快捷信息安全资料查找的服务。 E安全APP官网:http://www.easyaq.com E安全APP下载: ? E安全App由中国信息安全测评中心和安恒信息联合开发。
1.6K60发布于 2018-04-11 - 来自专栏Keegan小钢
App架构经验总结(一)
,不同的架构师大多会有不同的看法;架构也因项目而异,不同的项目需求不同,相应的架构也会不同。 然而,有些东西还是通用的,是所有架构师都需要考虑的,也是所有项目都会有的需求,比如API如何设计?架构如何分层?开发环境和生产环境如何分离? 从API开始 一个App,最核心的东西,其实就是数据,而数据的主要来源,就是API。我之前负责的项目,因为API的坑已经受过了不少苦,因此,之后对App项目的架构设计我都会先从API开始。 那么,制定API的安全机制,主要就是为了解决这两个问题: 保证API的调用者是经过自己授权的App; 保证数据传输的安全。 第一个问题的解决方案,我主要采用设计签名的方式。 不过,大部分App并没有按照安全建议去实现,主要就是没有对SSL证书进行安全性检查,这就成为了一个很大的漏洞,中间人利用此漏洞用假证书就可以通过检查,从而可以劫持到所有数据了。
1.1K40发布于 2018-08-10 - 来自专栏Keegan小钢
App架构经验总结(三)
经常出现测试人员今天需要测试环境的最新版本,叫App开发人员打包一个给她,明天需要切换到生产版本,再叫App开发人员打包一个生产环境的给她。 我们知道,一个App,在一台手机上要么只能是测试环境的,要么只能是生产环境的。测试人员要测试两个环境,只能不断替换不同环境的同个App,这实在太麻烦了。 那么,在一个系统想安装不同环境的App,只要每个环境App的包名和Bundle Identify不同即可。 一般做法就是,非生产环境的App图标就是在生产图标的基础上添加一个环境标签,同时App的应用名称也是在生产的基础上添加环境后缀名。 写在最后 至此,关于App架构方面的经验总结就先讲这么多了。其中,部分内容在我以往的博客上也已经有所体现,有兴趣的读者可以前往我的博客了解并欢迎参与讨论
60050发布于 2018-08-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号