移动应用 App 安全风险
移动应用 App 是指运行在智能设备终端的客户端程序,其作用是接收和响应移动用户的服务请求,是移动服务界面窗口。
由于移动应用 App 安装在用户的智能设备上(通常为智能手机),用容易遭受到反编译、调试、篡改、数据窃取等安全成胁
移动应用 App 安全加固
为保护移动应用 App 的安全性,通常采用安全保护措施
移动应用 App 安全检测
移动应用 App 网络安全检测内容如下
- 身份认证机制检测;
- 通信会话安全机制检测:
- 敏感信息保护机制检测:
- 日志安全策略检测:
- 交易流程安全机制检测:
- 服务端鉴权机制检测:
- 访问控制机制检测:
- 数据防篡改能力检测:
- 防 SQL 注入能力检测;
- 防钓鱼安全能力检测:
- App 安全漏洞检测
为保护个人信息安全,规范 App 的应用,国家有关部门已发布了《信息安 全技术移动互联网应用程序(App) 收集个人信息基本规范(草案)》。
针对 Android 6.0 及以上的可收集个人信息的权限,给出了服务类型的最小必要权限参考范围,具体要求是:
- 地图导航:位置权限、存储权限;
- 网络约车:位置 权限、拨打电话权限;
- 即时通信:存储权限;
- 博客论坛:存储权限;
- 网络 支付:存储权限;
- 新闻资讯:无;
- 网上购物:无;
- 短视频:存储权限;
- 快 递配送:无;
- 餐饮外卖:位置权限、拨打电话权限;
- 交通票务:无;
- 婚恋相亲:存储权限;
- 求职招聘:存储权限;
- 金融借贷:存储权限;
- 房屋租售:存储权限;
- 二手车交易:存储权限;
- 运动健身:位置权限、传感器权限;
- 问诊挂号:存储权限;
- 网页浏览器:无;
- 输入法:无;
- 安全管理:存储权限、获取应用账户、读取电话状态权限、短信权限
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
