在之前的文章里，移動(dòng)安全作家Evan Schuman介紹了避免移動(dòng)安全問(wèn)題6條建議中的前三條，以下是第四五六條建議。

　　一種最為常見(jiàn)的移動(dòng)應(yīng)用程序安全技術(shù)是采用旨在識(shí)別常見(jiàn)安全問(wèn)題的自動(dòng)化腳本或程序。該方法對(duì)小型企業(yè)很有吸引力，因?yàn)樗�即快捷又相�?duì)價(jià)格低廉。但不幸的是，自動(dòng)化腳本卻識(shí)別不了即使現(xiàn)今最基本移動(dòng)應(yīng)用程序日益增強(qiáng)的復(fù)雜性所造成的安全問(wèn)題。正因?yàn)槿绱�，小企業(yè)應(yīng)該考慮聘請(qǐng)一位移動(dòng)應(yīng)用程序安全專(zhuān)家，他既不是移動(dòng)應(yīng)用程序開(kāi)發(fā)專(zhuān)家，也不同于安全專(zhuān)家，甚至網(wǎng)絡(luò)安全專(zhuān)家。

　　“移動(dòng)應(yīng)用程序測(cè)試不同于任何其他類(lèi)型的測(cè)試”，在惠普Fortify部門(mén)負(fù)責(zé)移動(dòng)應(yīng)用程序測(cè)試流程的Daniel Miessler表示。“你必須要考慮到手機(jī)客戶(hù)端，網(wǎng)絡(luò)以及服務(wù)器各個(gè)方面，這些地方都存在有大量使你遺留數(shù)據(jù)瀏覽路徑記錄的機(jī)會(huì)。 ”

　　也不要認(rèn)為這只是個(gè)小企業(yè)才面臨的安全漏洞問(wèn)題。最新的受害者是誰(shuí)呢?是美國(guó)以營(yíng)業(yè)額計(jì)算最大的公司沃爾瑪。沃爾瑪?shù)囊苿?dòng)應(yīng)用程序收集并保存內(nèi)部引用信息，開(kāi)發(fā)人員姓名，地理位置歷史記錄甚至密碼 – 對(duì)此沃爾瑪悉數(shù)不知，盡管它進(jìn)行了廣泛的內(nèi)部測(cè)試，當(dāng)然其中大部分測(cè)試是通過(guò)自動(dòng)化腳本完成的。直到一名移動(dòng)安全測(cè)試人員破解了他下載到自己iPhone上的沃爾瑪應(yīng)用程序，其安全漏洞才最終被發(fā)現(xiàn)。

　　認(rèn)證信息系統(tǒng)安全專(zhuān)家以及全球信息保障認(rèn)證滲透安全測(cè)試員Daniel Wood，是一名長(zhǎng)期研究移動(dòng)應(yīng)用程序安全的研究員。自動(dòng)掃描和分析可以捕獲許多安全缺陷和漏洞，Wood說(shuō)，但是企業(yè)通過(guò)自動(dòng)方法只能看到所面臨攻擊面的一部分。“擁有真正編程能力和安全性測(cè)試技能，并能夠從編程方面 - 源代碼 – 以及應(yīng)用程序業(yè)務(wù)邏輯雙方面檢測(cè)應(yīng)用程序的測(cè)試人員，無(wú)可或缺。”Wood說(shuō)。

　　一個(gè)自動(dòng)掃描有局限性的例子是識(shí)別跨站點(diǎn)腳本( XSS)漏洞，或當(dāng)攻擊者偽裝惡意編碼，并將其置入看起來(lái)可信任的鏈接時(shí)。“手工測(cè)試可能能夠通過(guò)應(yīng)用程序儲(chǔ)存文檔，或?yàn)樵试S用戶(hù)在瀏覽器中注釋PDF文檔而使用某個(gè)特別功能的方式，識(shí)別出XSS漏洞”，Wood說(shuō)。 “如果一個(gè)應(yīng)用程序有此功能，安全測(cè)試人員(或小偷)就可以在瀏覽器中彈出XSS漏洞的注釋中創(chuàng)建一個(gè)惡意鏈接，以竊取受害者的會(huì)話(huà)內(nèi)容。而自動(dòng)化掃描無(wú)法理解做這種測(cè)試所包含的邏輯。

　　建議4 ：腳本適用于電影，卻不適用于移動(dòng)應(yīng)用程序安全性。當(dāng)涉及到移動(dòng)應(yīng)用程序安全性測(cè)試時(shí)，還是要以人為本。

　　記住密碼，舍棄自動(dòng)填充

　　即便你只是收集最不敏感的信息，或是提供幾乎沒(méi)一點(diǎn)真實(shí)性的定制服務(wù)，移動(dòng)專(zhuān)家也要強(qiáng)調(diào)密碼的重要性。為什么呢?是為了提供一個(gè)能夠密切關(guān)注誰(shuí)在您的網(wǎng)站上做什么的簡(jiǎn)單而準(zhǔn)確的方法。如果顧客一再打開(kāi)應(yīng)用程序上的某個(gè)產(chǎn)品，這種行為很可能會(huì)是有用的數(shù)據(jù)。

　　為了使所有與你公司的交互行為變得盡量輕松，企業(yè)可能會(huì)希望自己的移動(dòng)應(yīng)用程序記住 - 或自動(dòng)填充 - 客戶(hù)的密碼，這樣客戶(hù)就不必在每一個(gè)應(yīng)用程序啟動(dòng)時(shí)重新鍵入。美國(guó)幾個(gè)最大品牌移動(dòng)應(yīng)用程序出現(xiàn)的安全問(wèn)題則提出了一條逆勢(shì)忠告：抵制這種誘惑。為了保護(hù)客戶(hù)，請(qǐng)放棄這一便利。

　　盡管并不缺少允許保存當(dāng)前移動(dòng)設(shè)備上密碼的安全方式，但有問(wèn)題的高知名度應(yīng)用程序也不少。星巴克保存密碼卻不小心以所有人都看得到的純文本格式進(jìn)行存儲(chǔ)。達(dá)美航空很聰明的加密了客戶(hù)的保留密碼。但不幸的是，達(dá)美航空卻以明文形式保存加密密鑰。

　　IT服務(wù)公司Research Into Internet Systems LLC創(chuàng)始人兼總裁，同時(shí)是Android Best Practices一書(shū)作者的Godfrey Nolan，發(fā)現(xiàn)了達(dá)美航空的這一安全漏洞。

　　“如果你的應(yīng)用程序上有你不希望別人看到的任何敏感信息，那么請(qǐng)確保您的用戶(hù)必須輸入用戶(hù)名和密碼進(jìn)行登錄”，Nolan說(shuō)。“他們必須在每一次程序打開(kāi)時(shí)輸入密碼。如果您的應(yīng)用程序并非如此，則其密碼很可能被保存在本地，那這絕對(duì)是一個(gè)極其壞的主意。”

　　建議5 ：保存客戶(hù)密碼的風(fēng)險(xiǎn)大于便利。對(duì)于絕大多數(shù)由小企業(yè)提供的應(yīng)用程序來(lái)說(shuō)，要求客戶(hù)在應(yīng)用程序啟動(dòng)是輸入密碼都不會(huì)是一個(gè)大問(wèn)題。放棄這層安全保護(hù)會(huì)構(gòu)成危險(xiǎn)。請(qǐng)記住，單用一個(gè)密碼就可以在網(wǎng)上完全模仿你的客戶(hù)。

　　把第三方交互當(dāng)作有無(wú)窮陷阱的險(xiǎn)惡之地

　　現(xiàn)在最大的移動(dòng)應(yīng)用程序安全問(wèn)題并不是公司的開(kāi)發(fā)者對(duì)應(yīng)用程序做了什么，也不是什么第三方程序(合并在公司移動(dòng)應(yīng)用程序以?xún)?nèi))做了什么。而是意外交互所造成那些的安全漏洞。讓我們回到了星巴克的例子，零售連鎖企業(yè)以明文保留客戶(hù)密碼的問(wèn)題不在于它的程序。該數(shù)據(jù)被流行崩潰分析程序Crashlytics抓取了(其也被沃爾瑪使用 - 現(xiàn)由Twitter所有) 。

　　星巴克表示，密碼保留不是它的錯(cuò)，因?yàn)榱闶凵瘫旧頉](méi)有保留數(shù)據(jù); 是Crashlytics干的。 Crashlytics的人說(shuō)，這也是不是他們的錯(cuò)，因?yàn)樗麄優(yōu)榭蛻?hù)提供如何調(diào)配程序和設(shè)置的明確指示。結(jié)果最終發(fā)現(xiàn)還是星巴克的錯(cuò)，因?yàn)槲譅柆敳渴鹆送瑯拥腃rashlytics程序，但卻不允許其保存密碼。

　　建議6 ：測(cè)試，測(cè)試，再測(cè)試。鑒于小企業(yè)緊張的IT預(yù)算，有必要重新利用現(xiàn)有技術(shù)功能，以提供也能被移動(dòng)應(yīng)用程序使用的標(biāo)準(zhǔn)功能。但請(qǐng)記住，這些程序沒(méi)有經(jīng)過(guò)相互合作測(cè)試，也沒(méi)有與你的移動(dòng)應(yīng)用程序進(jìn)行交互測(cè)試。在承擔(dān)伴隨移動(dòng)應(yīng)用程序而來(lái)的問(wèn)題之前，自己測(cè)試以發(fā)現(xiàn)任何的問(wèn)題。不要等著你身后的網(wǎng)絡(luò)小偷幫你發(fā)現(xiàn)問(wèn)題。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：謹(jǐn)防自動(dòng)化腳本引發(fā)的移動(dòng)安全問(wèn)題

本文網(wǎng)址：http://www.oesoe.com/html/consultation/10839413835.html