移动端产品安全 - 51testing.pdf

移动端产品安全 @许章毅 个人简介 知名白帽子/依旧 新浪安全技术负责人 安全软件ProxyScan作者 现负责新浪业务和产品的安 全保障工作。专注应用和移 动端安全，漏洞智能检测等。 移动端产品安全现状 谁知道? 移动端产品安全现状 历史安全问题? 主要议题 • 移动端产品安全保障 – 数据安全 • Acitvity组件安全、Webview代码执行漏洞、明文存储、模 版交互、隐私数据、核心算法保护 – 开发安全 • 安全意识、环境和测试安全、第三方SDK安全开发 – 业务及接口安全 • 输入与输出、验证与授权、核心接口保护 – 安全运维 • 配置错误、匿名、弱口令 – 安全工具 • 漏洞智能检测 • 移动端产品最佳实践 数据安全 • Acitvity组件安全 • Webview代码执行漏洞 • 明文存储 • 模版交互 • 隐私数据 • 核心算法保护 Acitvity组件安全 默认发布[android:exported=false ] 私有Activity不应被其他应用启动 Acitvity组件安全 Acitvity组件安全 • 当Activity返回数据时候需注意目标Activity是否有泄露信 息的风险? • 验证目标Activity是否恶意app ，规避受到intent欺骗，可 用hash签名验证。 • 签名验证内部（in-house ）app Webview代码执行漏洞 明文存储 明文存储 模版交互 交互参数过滤 模版交互 隐私数据 打码模糊 核心算法保护 算法强度 核心算法保护 重要参数 老版本泄露 反编译 帐号密码 加密密钥 核心算法 开发安全 人员 • 安全意识 • 专业知识 环境 • 开发环境 • 测试环境 第三方 • SDK调用 • 安全开发 开发人员安全意识 规范分享源代码 开发人员安全意识 保护帐号和密码 开发环境和测试环境 开发工具和代码包来源的安全性 第三方SDK安全开发 百度WormHole虫洞漏洞 开放40310端口 无验证授权高权限操作 业务及接口安全  数据库