安全问题,怎么解决?别的地方拷过来

lobo · · 3434 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。

1、终端安全: 手机之所以能实现诸多功能,是因为我们的手机中安装了很多传感器,例如光线传感器、距离传感器、加速度传感器、压力传感器、磁场传感器、指纹传感器、陀螺仪等,这些传感器作为手机应用的基础,在访问权限方面几乎是不设防的,也就是说任何一个应用都能随意访问,不需要机主授权。而不法分子要做的,就是设疑一段计算程序,然后让它分析从手机传感器上获取的大量零散数据,从而就暗处你的位置、你的习惯,甚至是你每一次触摸手机屏幕时按的键。 2、系统安全: 当前,我国手机终端操作系统集中在Android、iOS、Symbian和WindowsPhone。移动终端在操作系统、软件平台、硬件、应用软件等各方面尚缺乏安全防护措施。就操作系统而言,移动终端的操作系统还没有出现类PC的统一操作系统,导致移动终端受攻击的概率比传统 PC高很多,为各类病毒的传播及恶意代码的入侵创造了有利环境。此类病毒、恶意代码给终端用户的隐私、移动网络安全带来了潜在威胁。 3、应用安全: 现在机会所有APP都是网络强相关的,客户端展示的很多东西都是通过接口从服务器上获取的,当然,服务器也会接受大量从客户端上传的数据,这两端在进行双向通信的时候,就很容易被第三方获取,导致数据被盗取、接口被盗刷。 APP的移动安全主要包括下面几种: 1、密钥破解,导致本地加密数据被盗取; 2、通信密钥破解,导致接口数据被盗取3、伪造接口数据上报;4、接口签名被破解,导致接口可以被重放攻击。 以安卓系统恶意利用保活功能为例,简单介绍一下应用进程保护滥用场景: 1、寻找设备漏洞获取Root,释放恶意进程保护文件; 2、利用双管道互相监听,保证双向监听进程是否存活; 3、调用系统新增接口。 4、数据泄露:网络是一个高度共享的平台,移动互联网的产生使社会迎来了全民“触网”时代,但也增加了安全性问题的产生机率,新型网络产品所带来的各种漏洞风险也日益上升。移动互联网服务对象是人类,难免在服务过程中会出现大量用户信息,如身份信息、消费信息、位置信息等等,这些信息会被保存在相关的网络信息库中,成为大数据时代重要信息资源,如果没有建立完善的信息管控机制,用户的这些信息会被非法滥用。 在Internet环境下,安全问题我主要分为如下几类: 信息传输过程中被黑客窃取 服务器自身的安全 服务端数据的安全 首先,如果能用https,就尽量用https,能用nginx等常见服务器,就用常见服务器,主要能避免以下问题: 自己实现的协议&Server端可能会有各种Bug,被缓冲区溢出攻击等 SSL加密体系在防监听方面已经足够成熟,值得信赖 如果需要自己实现Server端,实现一套合格的SSL还是很考验功底的: 首先要弄明白SSL加密体系密钥交换的原理 对各种对称、非对称加密算法要有深刻的理解 用非对称加密算法怎么实现一套密钥交换体系 如何处理ca证书,在自签名情况下怎么避免中间人攻击 工程实现过程中,要考虑: 各种可能的缓冲区溢出攻击 SYN flood攻击,慢连接攻击 DDoS防起来有难度,但至少能防御DoS攻击 业务逻辑层面,要考虑: 每个接口都要做好用户&权限验证 接口会不会被人乱用,重放攻击 攻击方会不会找到一个比较消耗服务端资源的接口,用很小的代价耗尽服务端资源 用户的用户名密码会不会被通过接口破解,参见:2014 celebrity photo hack 你的服务会不会被黑客利用去攻击别的服务,特别是会根据用户输入抓取什么资源的服务 古老的SQL注入 无耻的仿冒服务,DNS欺诈 跨站攻击

有疑问加站长微信联系(非本文作者))

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

3434 次点击  
加入收藏 微博
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传