互联网企业安全高级指南读书笔记之移动应用安全
Posted PolluxAvenger
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了互联网企业安全高级指南读书笔记之移动应用安全相关的知识,希望对你有一定的参考价值。
互联网公司的安全体系基本上以运维安全、应用安全、业务安全三管齐下
签名管理
对于应用开发方,应该保护好本公司用于应用签名的私钥,推荐的解决方案是建立签名服务器,开发者上传需要签名的应用,服务器完成签名提供下载。这样可以对申请应用签名的人员进行权限控制,并包含日志记录,保存上传应用副本等功能,这样做的好处是降低私钥泄漏的风险
同一家公司内的应用推荐使用相同的签名密钥,避免不同的应用使用不同的签名
应用沙盒与权限
安卓和 ios 其中重要的一点是通过沙盒对各应用间的权限隔离,并在限定应用行为边界后,通过按需申请应用权限的方式规范各应用的行为
是如何实现沙盒的?安卓和 iOS 内核都源自 *nix 类系统内核,对应用沙盒的技术实现都是基于操作系统提供的用户机制。每个在系统上安装的应用,如果没有特殊设定(SYSTEM 或者安卓中 SHARED-UlD 模式),都会有系统分配给应用一个独特的用户 ID(UID),单凭该 UID,应用无法使用任何应用外的设备资源。只有当应用在安装时预先申请
了某些系统权限后,才会被准许进行权限对应的操作
安全评估
代码审计
iOS 开发 Xcode 环境可使用整合的 Clang Static Analyzer,而安卓 Java 代码可以使用 FindBugs 来完成代码安全审计
应用加固
目前有一些在线的应用安全加固服务,用户上传需要加固的应用,服务器接收应用从安全、逆向、调试难度等方面对应用进行评估
以上是关于互联网企业安全高级指南读书笔记之移动应用安全的主要内容,如果未能解决你的问题,请参考以下文章