1 APP常见漏洞与对策
1.1 APP安全趋势总结
- 软件安全演变为信息安全
- 信息安全离大众越来越近
- 信息安全越来越受重视
- 信息安全会影响大众的生活
1.2 OWASP Mobile TOP 10
1.2.1 平台使用不当
- 糟糕的Web服务强化
- 逻辑缺陷
- 弱认证
- 弱会话管理或没有会话管理
- 会话固定
- 不安全的Web服务器配置
- 默认内容
- 管理界面
- Web服务和支持移动的网站上的注入
- 身份验证缺陷
1.2.2 不安全的数据存储
敏感数据未加密存储、本地文件未加密、Webview本地明文存储cookie等问题
- 常见类型
- SQL数据库
- 日志文件
- XML数据存储和清单文件
- Cookie
- 影响:
- 身份盗用
- 侵犯隐私
- 欺诈
- 声誉受损
- 物质损失
1.2.3 不安全通信
使用了不安全的通信协议,传输未加密的数据
- 常见类型
- 缺少证书检查
- 自定义SSL x509 TrustManager
- 缺少证书检查
- 影响
- 隐私泄露
- 身份盗用
- 网络钓鱼
- 中间人攻击
- 欺诈
- 声誉受损
1.2.4 不安全的身份验证
身份验证功能不完善,对用户的请求不进行验证
- 常见类型:
- 隐藏服务请求
- 影响
- 信息窃取
- 未经授权的数据访问
- 无法识别执行操作的用户请求
1.2.5 弱加密
加密容易被破解
- 常见类型:
- 内置代码加密
- 硬编码密钥
- 不安全或过时的算法(RC2/MD4/MD5/SHA1)
1.2.6 不安全的授权
授权不加的技术影响在性质上与认证不良的技术影响相似
- 常见类型:
- 隐藏端点:
- 用户角色或权限传输:
- 影响
- 声誉损失
- 欺诈
- 信息盗用
1.2.7 客户端代码质量
可以将不受信任的输入传递给移动代码中的方法调用的实体。这些类型的问题本身不一定是安全问题,但是会导致安全漏洞,被人利用漏洞,成为安全问题
目前规范代码协作和代码安全扫描。
- 常见类型:
- 不正确的资源关闭
- 信任用户输入
- 变量使用问题
- 运算符使用问题
- 函数问题
- 条件语句问题
- 循环语句问题
- 数值类型转换问题
1.2.8 代码篡改
对代码和资源的保护不足,应用被修改和重新打包后可以正常运行。
- 常见类型:
- 修改代码
- 修改资源
- 修改API
- 影响:
- 未经授权的新功能
- 身份盗用
- 欺诈
1.2.9 逆向
对代码或资源的保护不足,应用可以被反编译出易读的代码或伪代码
- 常见类型:
- 保留的符号表
- 反编译
- 影响:
- 显示有关后端服务器的信息
- 显示加密常量和密码
- 窃取知识产权
- 对后端系统进行攻击
- 修改代码并执行获取所需的信息
- 知识产权盗窃
1.2.10 无关的功能
存在了不该存在的代码,且这些代码中包含的的内容或实现的功能存在敏感信息。
- 常见类型:
- 开发人员可能会在混合应用程序中意外将密码作为注释包含在内
- 测试期间禁用双因素认证
- 遗留的测试组件
- 影响:
- 暴露后端系统的工作方式
- 未经授权的访问
1.3 对策与方案
1.3.1 十大安全编码(事前)
- 验证输入
- 安全策略的架构与设计
- 默认拒绝
- 筛选发送到其他系统的数据
- 使用有效的质量保证技术
- 注意编译器警告
- 保持简洁
- 坚持最小特权原则
- 深度防御练习
- 采用安全的编码标准
1.3.2 开发者对策
- 安全设计(事前)
- 安全编码(事中)
- 模块化
- 封装性
- 信息隐藏
- 限制防御性编程
- 代码扫描和测试(事后)
- 功能测试
- 渗透测试
- APP安全监测
- 代码扫描
2 APP漏洞检测与应对
- 本地文件存储
- 安全通信
- 加密
- 组件安全
- webview组件安全
2.1 本地文件存储
- 基本概念:在程序中如果使用了SharedPreference或者SQLiteDatabase,要查看 SharedPreference或SQLiteDatabase是否设置了安全权限,否则可能会导致敏感信息泄露
- 漏洞危害:
- 数据丢失
- 提取程序额敏感信息
- 业务影响很大程度上取决于被盗信息的性质
- 解决方法:
- 禁止全局读写
- 敏感信息加密存储
- 敏感数据加密存储的同时可以对本地数据库文件也进行加密,
- 开源库:SQLCipher
- 收费版:SQLite Encryption Extension;
2.2 安全通信
- 基本概念:特征是存在两个设备而且它们之间会传递某些数据
- 漏洞危害:
- 敏感信息泄露
- 中间人攻击
- 解决方法:
- 真正实现TrustManager
- 禁止使用AllowAllHostnameVerifier和 ALLOWALLHOSTNAMEVERIFIER实例化,应该使用 STRICTHOSTNAME_VERIFIER严格校验。
- 禁止使用SSLCertificateSocketFactory;->getInsecure()函数禁用 所有SSL安全校验
- 禁止使用proceed()函数忽略证书错误,应该抛给系统进行安 全警告
2.3 组件安全
- 基本概念:
- 最小化原则,减少程序权限申请
- 防止非法调用:自定义权限,设置调用方白名单
- 私有化:内部使用的类、变量和接口,防止外部非法调用
- 漏洞危害:
- 网络钓鱼,盗取各类用户账户
- 绕过本地认证
- 本地拒绝服务
2.4 Web组件
-
漏洞危害:
- UXSS漏洞攻击
- 远程命令执行攻击
- File域同源策略绕过攻击
-
解决方法:
- 禁止使用AddJavaScriptInterface方法
- 设置WebView建议关闭file协议
mWebView.setAllowFileAccess(false)setAllowFileAccessFromFile URLs(false),setAllowUniversalAccessFromFileURLs(false)- 移除危险方法
removeJavascriptInterface("searchBoxJavaBridge_") removeJavascriptInterface("accessibility") removeJavascriptInterface("accessibilityTraversal")- 使用handler.cancel()
2.5 敏感信息泄露
- 基本概念:
- 敏感信息:财务数据、医疗数据和个人可标识信息数据
- 通过窃取或修改未加密的数据来实施诈骗或其他犯罪行为
- 未加密的敏感数据容易遭到破坏
- 可能泄露的数据:传输过程中的数据、存储的数据以及交互数据
- 漏洞与危害:
- 错误响应暴露敏感信息
- 要求:
- 传输敏感数据做脱敏加密处理
- catch中避免打印堆栈信息,使用友好的错误提示信息
2.6 日志安全
- 基本概念:
- 禁止将敏感信息打印到客户端日志中
- 包括应用程序本身和应用程序调用的第三方库的程序
2.7 其他常见问题【流未关闭的问题】
- 漏洞与危害:
- 流使用未正常关闭,不能释放资源,导致资源枯竭攻击
- 未关闭会占用资源,导致其他程序访问异常,也可能导致资源过度占用内存溢出等情况
