《黑客大曝光：移動應用安全揭秘及防護措施》一1.4 小結

本節書摘來自華章出版社《黑客大曝光：移動應用安全揭秘及防護措施》一書中的第1章，第1.4節，作者 （美）neil bergman ，更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視

很多方面，移動面臨與用戶端–伺服器架構同樣的安全挑戰，針對這些挑戰我們已經奮鬥了許多年。與其重新發明輪子，還不如繼續将注意力集中在現有基礎上，包括很多我們在本章節涉及的概念：

首先，了解你想要保護的事物：

" 顯示的資料

" 傳輸的資料

" 靜态資料

圍繞資産、相關威脅和控制開發風險模型。

基于風險模型設計你的移動解決方案。

通過代碼審計、滲透測試等方式，将安全內建到你的開發過程中，以確定發現測試手動的濫用和實作時引入的缺陷。

沖洗、打更新檔并重複。

對移動應用程式開發者來說，翻到下一頁就會看到需要思考的關鍵對策的總結。

架構和設計，将你的架構與資産價值相結合，比如，“遠端控制/無用戶端資料”對“存儲用戶端所有資料”。

輸入/輸出驗證，注入攻擊是應用安全的一大隐患。控制輸入輸出的資料。

緩存及日志，了解你要開發的手機平台，以及可用來記錄有用資料片的方法；根據正在處理的資料的敏感度來禁用或者改善這些方法。

錯誤處理，移動應用場景對于“失敗退出”設計可能會有更低的容忍度，但是這并不意味建立強制恢複日志是不可行的。

裝置丢失或捕捉，確定你的設計能夠有進行控制的最後的補救辦法：移除你的資料。

服務端強度，在現代cloud-centric威脅模型中，伺服器端的資料及處理是最核心最有價值的資産。在這裡部署強有力的控制，包括應用層防護，并對如自主密碼重設等容易被誤用的公共通路接口給予更嚴格的關注。