在云平台中构建安全的移动应用程序

发布时间：2023-01-11 14:31:32 所属栏目：应用来源：网络

导读： 每日分享最新，最流行的软件开发知识与最新行业趋势，希望大家能够一键三连，多多支持，跪求关注，点赞，留言。
本安全移动应用程序指南显示了主要安全漏洞、OWASP 构建/测试 iOS 和 Andro

每日分享最新，最流行的软件开发知识与最新行业趋势，希望大家能够一键三连，多多支持，跪求关注，点赞，留言。

本安全移动应用程序指南显示了主要安全漏洞、OWASP 构建/测试 iOS 和 Android 应用程序的最佳实践等。

构建安全的移动应用程序是一个困难的过程，尤其是在云中。我们必须考虑到移动平台，如 iOS 和 Android，具有完全不同的架构和质量准则。此外，我们需要在后端处理我们的云架构。在本文中，我们将了解前六大安全漏洞、OWASP 构建/测试 iOS 和 Android 应用程序的最佳实践，以及 iOS 和 Android 指南。最后但同样重要的是，我们将探讨一个用于移动应用程序的 DevSecOps 示例。

前三个攻击示例

为了解移动应用程序安全的重要性，让我们首先看一下导致受影响公司出现巨大财务和营销问题的三个最著名的移动应用程序黑客攻击。

公园移动突破口

在 2021 年对 ParkMobile 应用程序的网络攻击中，黑客成功窃取了 2100 万个用户帐户。据Security7称，黑客设法窃取了电话号码、车牌号码和电子邮件地址。似乎所有未加密的数据都是被盗的密码。然而，信用卡是加密的，所以黑客无法加密数据，因为密钥没有被盗。

Juspay数据泄露

为优步、亚马逊、Swiggy 和 Flipkart 提供服务的支付运营商 Juspay 于 2020 年 8 月通过其移动应用程序遭到黑客攻击。黑客窃取了 3500 万条记录，包括信用卡数据、指纹和屏蔽卡数据。

Walgreens 移动应用程序泄漏

2020 年移动应用安全，Walgreens 的移动应用程序集成了监视个人消息和信息的恶意软件。这导致大量用户数据遭到泄露，包括姓名、处方编号和地址。

iOS 和 Android 中的六大 OWASP 安全漏洞类型

在我们进入 iOS 和 Android 指南以及 OWASP 测试指南之前，让我们先看看排名前六的 OWASP 漏洞类型：

移动应用安全_移动应用商场_mcafee移动安全应用

在我看来，这是最重要的漏洞类型列表。但是，OWASP 提供了 10 个列表，并且还提供了标准和测试指南。我们将在下一节中介绍这些内容。

OWASP 移动应用安全基础

OWASP 移动应用程序安全基础知识由多个来源组成，包含OWASP 移动应用程序安全验证标准(MASVS)、OWASP 移动应用程序安全测试指南(MASTG) 和移动安全清单。在下面的图 1 中，您将详细了解移动应用程序安全性的基础知识：

mcafee移动安全应用_移动应用商场_移动应用安全

图 1：OWASP 移动应用安全基础

让我们更详细地了解一下移动应用清单。

移动应用程序安全检查表

移动应用程序安全清单是 MASTG 的一部分。这是开发团队在保护移动应用程序时应包括的一组规则/检查。它包含 100 多行，并按以下类别组织：

每条规则（或检查）都有一个识别码和描述。所有规则都有优先级标记。“L1”或“L2”表示应用程序应实施规则/检查。“R”表示它是必需的，因此团队必须实施所有标有“R”的内容。在OWASP 的网站上下载完整示例。

接下来，让我们关注特定平台的指南，并关注最流行的平台：iOS 和 Android。

iOS 和 Android 中的安全移动应用程序：指南

由于我们已经部分接触了一些 iOS 安全 API，因此我们将继续讨论添加 Android 的问题。在下面的第一部分中，我收集了有关 iOS API 安全功能的指南和最佳实践。

Apple App 沙盒、数据保护 API 和钥匙串

Apple App Sandbox 提供了一个 API 来隔离应用程序并防止访问主系统或其他应用程序。它基于 UNIX 的用户权限，并确保应用程序由权限较低的“移动”用户执行。此外，它还包括地址空间布局随机化 (ASLR) 和 ARMs Never eXecute，可防止与内存相关的安全漏洞并阻止恶意代码的执行。

数据保护 API 允许应用程序加密和解密其文件，并且它可以解决多个安全问题，例如身份验证和逆向工程。每个文件都有四个可用的保护级别，默认情况下，它会通过第一次用户身份验证进行加密。但是，我们应该提高级别以提供最高级别的保护。

最后但同样重要的是，钥匙扣。它提供安全的硬件加速数据存储。iOS 提供此 API 以最高安全级别存储证书和密码。对于钥匙串中的每个项目，我们可以定义特定的访问策略。特别是当用户需要申请 Face ID 或 Touch ID 时，生物特征注册不会因为项目被添加到钥匙串而改变。

移动应用商场_移动应用安全_mcafee移动安全应用

图 2：钥匙串 API

Android 加密键值存储、文件加密和加密 API

与 iOS 一样，Android 也有许多类似的功能来安全地存储数据。第一个是键值存储。它允许存储数据SharedPreferences用于设置存储中项目的可见范围。我们需要记住，默认情况下存储的值是不加密的。因此，恶意软件可能会访问这些数据。

如果我们需要手动加密数据，我们可以使用 Cryptographic API。我们可以使用 KeyGenerator 生成安全密钥，然后将加密后的值保存并提取到Android Keystore中。为了安全地处理文件和外部存储，Android 提供了密码学支持库。它支持很多加密算法来加密/解密文件。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!