在之前的文章里,移动安全作家Evan Schuman介绍了避免移动安全问题6条建议中的前三条,以下是第四五六条建议。 一种最为常见的移动应用程序安全技术是采用旨在识别常见安全问题的自动化脚本或程序。该方法对小型企业很有吸引力,因为它即快捷又相对价格低廉。但不幸的是,自动化脚本却识别不了即使现今最基本移动应用程序日益增强的复杂性所造成的安全问题。
正因为如此,小企业应该考虑聘请一位移动应用程序安全专家,他既不是移动应用程序开发专家,也不同于安全专家,甚至网络安全专家。 “移动应用程序测试不同于任何其他类型的测试”,在惠普Fortify部门负责移动应用程序测试流程的Daniel Miessl……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在之前的文章里,移动安全作家Evan Schuman介绍了避免移动安全问题6条建议中的前三条,以下是第四五六条建议。
一种最为常见的移动应用程序安全技术是采用旨在识别常见安全问题的自动化脚本或程序。该方法对小型企业很有吸引力,因为它即快捷又相对价格低廉。但不幸的是,自动化脚本却识别不了即使现今最基本移动应用程序日益增强的复杂性所造成的安全问题。正因为如此,小企业应该考虑聘请一位移动应用程序安全专家,他既不是移动应用程序开发专家,也不同于安全专家,甚至网络安全专家。
“移动应用程序测试不同于任何其他类型的测试”,在惠普Fortify部门负责移动应用程序测试流程的Daniel Miessler表示。“你必须要考虑到手机客户端,网络以及服务器各个方面,这些地方都存在有大量使你遗留数据浏览路径记录的机会。 ”
也不要认为这只是个小企业才面临的安全漏洞问题。最新的受害者是谁呢?是美国以营业额计算最大的公司沃尔玛。沃尔玛的移动应用程序收集并保存内部引用信息,开发人员姓名,地理位置历史记录甚至密码 – 对此沃尔玛悉数不知,尽管它进行了广泛的内部测试,当然其中大部分测试是通过自动化脚本完成的。直到一名移动安全测试人员破解了他下载到自己iPhone上的沃尔玛应用程序,其安全漏洞才最终被发现。
认证信息系统安全专家以及全球信息保障认证渗透安全测试员Daniel Wood,是一名长期研究移动应用程序安全的研究员。自动扫描和分析可以捕获许多安全缺陷和漏洞,Wood说,但是企业通过自动方法只能看到所面临攻击面的一部分。“拥有真正编程能力和安全性测试技能,并能够从编程方面 - 源代码 – 以及应用程序业务逻辑双方面检测应用程序的测试人员,无可或缺。”Wood说。
一个自动扫描有局限性的例子是识别跨站点脚本( XSS)漏洞,或当攻击者伪装恶意编码,并将其置入看起来可信任的链接时。“手工测试可能能够通过应用程序储存文档,或为允许用户在浏览器中注释PDF文档而使用某个特别功能的方式,识别出XSS漏洞”,Wood说。 “如果一个应用程序有此功能,安全测试人员(或小偷)就可以在浏览器中弹出XSS漏洞的注释中创建一个恶意链接,以窃取受害者的会话内容。而自动化扫描无法理解做这种测试所包含的逻辑。
建议4 :脚本适用于电影,却不适用于移动应用程序安全性。当涉及到移动应用程序安全性测试时,还是要以人为本。
记住密码,舍弃自动填充
即便你只是收集最不敏感的信息,或是提供几乎没一点真实性的定制服务,移动专家也要强调密码的重要性。为什么呢?是为了提供一个能够密切关注谁在您的网站上做什么的简单而准确的方法。如果顾客一再打开应用程序上的某个产品,这种行为很可能会是有用的数据。
为了使所有与你公司的交互行为变得尽量轻松,企业可能会希望自己的移动应用程序记住 - 或自动填充 - 客户的密码,这样客户就不必在每一个应用程序启动时重新键入。美国几个最大品牌移动应用程序出现的安全问题则提出了一条逆势忠告:抵制这种诱惑。为了保护客户,请放弃这一便利。
尽管并不缺少允许保存当前移动设备上密码的安全方式,但有问题的高知名度应用程序也不少。星巴克保存密码却不小心以所有人都看得到的纯文本格式进行存储。达美航空很聪明的加密了客户的保留密码。( 好航空公司!)但不幸的是,达美航空却以明文形式保存加密密钥。(坏航空公司!)
IT服务公司Research Into Internet Systems LLC创始人兼总裁,同时是Android Best Practices一书作者的Godfrey Nolan,发现了达美航空的这一安全漏洞。
“如果你的应用程序上有你不希望别人看到的任何敏感信息,那么请确保您的用户必须输入用户名和密码进行登录”,Nolan说。“他们必须在每一次程序打开时输入密码。如果您的应用程序并非如此,则其密码很可能被保存在本地,那这绝对是一个极其坏的主意。”
建议5 :保存客户密码的风险大于便利。对于绝大多数由小企业提供的应用程序来说,要求客户在应用程序启动是输入密码都不会是一个大问题。放弃这层安全保护会构成危险。请记住,单用一个密码就可以在网上完全模仿你的客户。
把第三方交互当作有无穷陷阱的险恶之地
现在最大的移动应用程序安全问题并不是公司的开发者对应用程序做了什么,也不是什么第三方程序(合并在公司移动应用程序以内)做了什么。而是意外交互所造成那些的安全漏洞。让我们回到了星巴克的例子,零售连锁企业以明文保留客户密码的问题不在于它的程序。该数据被流行崩溃分析程序Crashlytics抓取了(其也被沃尔玛使用 - 现由Twitter所有) 。
星巴克表示,密码保留不是它的错,因为零售商本身没有保留数据; 是Crashlytics干的。 Crashlytics的人说,这也是不是他们的错,因为他们为客户提供如何调配程序和设置的明确指示。结果最终发现还是星巴克的错,因为沃尔玛部署了同样的Crashlytics程序,但却不允许其保存密码。
建议6 :测试,测试,再测试。鉴于小企业紧张的IT预算,有必要重新利用现有技术功能,以提供也能被移动应用程序使用的标准功能。但请记住,这些程序没有经过相互合作测试,也没有与你的移动应用程序进行交互测试。在承担伴随移动应用程序而来的问题之前,自己测试以发现任何的问题。不要等着你身后的网络小偷帮你发现问题。
作者
翻译
相关推荐
-
NSS Labs公开评测显示:中国下一代防火墙厂商安全性优于国际主流厂商
2月29日,著名国际独立安全研究和评测机构NSS labs发公布了2015年度下一代防火墙的测试评结果,对其邀请参加公开测试的全球十二个主流品牌的下一代防火墙产品进行了综合评估。
-
Forrester:棱镜门对云计算厂商影响有限
根据Forrester公司一份研究报告,棱镜监视项目的丑闻给美国云计算厂商带来的损失并未像传说中的那么夸张
-
你的移动化策略安全吗?
当企业应对移动安全之初,主要是为了保护公司的电子邮件和数据,但显然,仅仅保障这两个方面的安全是毫无意义的。
-
如何保证NAS安全?
问:我听说NAS和SAN相比不太安全。为什么?有没有什么办法保证NAS的安全?答:NAS的安全性不一定比不上SAN。NAS的安全性是以不同的方式完成的。