什么是应用安全开发的最佳实践?

什么是应用安全开发的最佳实践?

黑客接单访客2021-10-12 0:43:006331A+A-

  对于移动开发人员来说,什么才是最重要的应用安全最佳实践?安全专家Kevin Beaver给出了答案。

  回答关于移动开发最佳实践是一项技巧,需要考虑多个变量。所有的应用程序,包括传统的客户端/服务器端的和web应用,开发人员都要考虑如下的一些事情:

  对于用户来说,什么样的功能是必须有的?这通常定义了许多安全方面。

  如何在最小的攻击表面平衡丰富功能?

  什么样的信息需要输入和处理?这也很大的安全隐患。

  那么,当然所有的安全“最佳实践”文档,如OWASP Top 10 Project和 SANS Top 25包含了输入验证,会话管理之类的。

  在很多方面,移动可以更简单,因为功能往往都是受限的。也就是说,当为移动设备考虑额外的安全措施时,你需要考虑如下的一些事情 :

  信息是如何输入到应用中的?进行模糊测试和为web应用对移动注入的工具并不多,但你仍然需要确保这类信息已经被验证。

  怎样从应用程序中提取信息?这对于移动应用往往都是马后炮。然而,当使用如Elcomsoft iOS Forensic Toolkit的Oxygen Forensic Suite这样的工具时,以设备的固件升级模式连接手机或平板时,一些鉴证工具是可用的,也是很开眼界的。

  信息是如何转换的?对于传统的应用来说,加密传统要摆在一个很重要的位置上,但在移动上往往会被忽视。我曾看到过大量的应用程序以纯文本的HTTP形式转转换所有东西。

  信息最终将被转换存储到什么地方,而且如何保护它?这含有安全和法律的含义,尤其当涉及到未受到保护的移动设备和第三方云应用时。

  回到最初的问题上,我已经说过对于移动开发人员来说,最重要的应用实践是看到未来大的前景。退一步,看看一切将如何操作和交互,来确保你掌握了一切。否则,你将把一切置于危险之中,这将不是所愿意看到的。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 依疚稚然2022-05-28 17:05:09
  • 人员都要考虑如下的一些事情:  对于用户来说,什么样的功能是必须有的?这通常定义了许多安全方面。  如何在最小的攻击表面平衡丰富功能?  什么样的信息需要输入和处理?这也很大的安全隐患。  那么,当然所有的安全“最佳实践”文

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理