基于移动应用安全风险分析与策略的研究

随着移动智能终端的普及和移动互联网新技术的快速发展，移动应用在给企业、客户产生效率和便捷的同时，移动应用安全问题也日益凸显。如何解决移动应用业务场景中所面临的安全风险，将是企业在互联网时代运营的严峻挑战。

典型漏洞分析

1、数据遍历

在面向客户的移动 APP 中，会员管理模块中通常含有客户姓名、身份证号码、手机号、加油卡号等基本信息。攻击者通过注册 APP 账号登录系统，利用 Burpsuite 工具进行流量劫持，通过修改登录请求中返回的用户 ID 进行遍历，即可获取和查看所有用户信息，从而造成严重的客户信息泄露的事件。

2、数据篡改

在移动 APP 的支付环节都有严格的逻辑判断和校验机制，但是在其他不涉及金额的功能模块中可能会被忽视。如积分兑换模块中，开发人员忽视了对积分数据类型、长度进行严格限制，缺乏对数据间关联的逻辑判断和验证。攻击者抓取数据包，利用这些逻辑漏洞对积分数据进行任意修改，从而造成客户相关数据被恶意篡改。

3、文件上传

在会员管理模块中通常预留会员头像上传的功能。如果服务器端没有对上传数据格式、大小及内容进行严格限制，将导致存在任意文件上传的漏洞。攻击者抓取上传头像的数据包，修改上传路径并上传木马文件，通过系统提权基于移动应用安全风险分析与策略的研究，分析典型应用风险漏洞，提出构建基于威胁建模的风险管理流程，阐述针对移动应用安全的应对策略，从而实现移动应用的本质安全。摘要等方式从而达到入侵和控制服务器的目的。

4、静态破解

静态分析方式对通过词法分析、语法分析、控制流、数据流分析等技术验证代码中存在的结构性漏洞、安全漏洞等问题。一方面通过静态分析在关键位置通过代码注入技术跟踪代码执行逻辑，另一方面通过逻辑判断的返回值，破解未加密或简单加密的移动应用，可能会导致用户密码、配置文件、资源文件等重要信息的暴露。

移动 APP 应用威胁分析

移动应用安全应对策略

1、全生命周期的移动安全体系

移动应用安全体系发展从普通的单点防御走向纵深的立体防御，整体上覆盖移动应用软件开发全生命周期，移动应用安全的防护更加趋向于“泛安全”管理。全生命周期的移动安全体系覆盖移动应用的各个阶段：开发设计阶段、移动应用发布阶段、移动应用运维阶段、数据运营推广阶段。这个四个阶段形成闭环流程，持续循环完善移动应用的安全体系建设。

2、发挥数据价值驱动安全

发挥数据的价值，以数据分析作为安全响应和安全策略的源头，数据驱动的安全感知、威胁情报触发的安全防护。结合业务场景构建威胁分析流程，基于威胁模型生成威胁指数，建立用户、环境、行为的可信度，通过自我学习不断提升，从而实现移动应用的本质安全。

移动应用安全作为移动互联网时代信息安全重点关注方向，信息安全的应对策略也正在发生的转变：从已知威胁到未知威胁，从单点安全到纵深防御，从策略驱动到数据驱动，从安全工具到安全服务。在新的发展趋势下，企业在适应互联网新零售业态的驱动下，建设面向客户的移动应用系统，建立基于威胁建模的风险管理流程，不断优化完善移动应用安全的管理体系，达到保护数据安全的最终目的。