MDSA線下公開課APP安全話題滿意度達到100%是如何煉成的?
原創如何讓暴風雨過后的北京再添色彩?6月27日,51CTO MDSA第四期線下公開課在北京黃苑大酒店三層會議廳火爆開場,近百位移動互聯網企業的APP開發者、測試工程師和安全技術愛好者參與了本次線下公開課。
在移動互聯網時代,APP已經滲透到人們的日常生活,更是占據生活絕大部分的碎片化時間。而在近期,多個網站、APP客戶端頻頻出現故障以及信息泄露問題,APP安全如同一把利劍,隨時都有可能指向企業正常運轉的命門。
與其在驚變后的茫然失措,不如在日常中加強安全意識和提升防御能力。也正如此,51CTO特別邀請了來自北京娜迦信息科技發展有限公司的CTO閻文斌(ID:玩命);烏云白帽子、高級安全研究員瘦蛟舞和百度云安全部資深安全專家郝軼,從APP安全方面的底層、硬件到方法,全面圍繞著整個生命周期和案例全面分析,為大家帶來一場移動APP開發安全防護的饕餮盛宴。
公開課下午兩點正式開始,首先是娜迦CTO閻文斌老師(ID:玩命),為大家帶來《Android軟件保護技術》的主題分享。一開場就對APP安全問題給出了自己的觀點,閻老師認為,目前軟件保護的成本很高,碎片化的Android系統以及國內各種山寨的Adnroid系統導致使安全市場比較混亂。
緊接著閻老師分享了Android原生APP的保護方式—DIS的實現原理。
而ELF文件中的符號表,字符串表、哈希表、重定位表,是整個ELF文件中最核心的四個部分,表閻老師人為重定位表相對于其他來說更加重要。
同時,閻老師還分享了連接器的基本流程、TDK的原理、TDK加載器類、TDK殼入口的函數、此外TDK中一些給開發者使用的的變量也做了詳細的分析。
最后更是對AOP安全代理技術和針對SO進行深層次開發的解讀。
較為豐富的內容及精彩的剖析使之后的QA環節異常踴躍,開發者的熱情高漲,劍鋒對麥芒,提問不斷,現場交鋒異常激烈。
接下來是來自烏云白帽子的瘦瘦老師為大家帶來《Droid APP Security Coding》的主題演講。
瘦瘦老師一開始就表示Android系統對各種APP的訪問設置了許多權限,但這些看起來很安全的權限實際上并非如此。
谷歌認為SD卡是公共區域,訪問并不需要權限。但用戶的使用習慣會經常將照片存放在SD卡中,因此,艷照門這類的事故發生在Android手機當中比蘋果手機的概率會比較大。
瘦瘦老師還提示 在場的小伙伴在使用Github的時候不要把企業的私鑰也傳到網上,因為許多黑客會選擇在網上收集一些信息對企業進行攻擊。
接下來是瘦瘦老師對一些常見重要的漏洞進行分析。其中WEBVIEW漏洞是最常見危害也是最大的。還包括了一些國產手機廠商的一些漏洞,比如酷派的應用鎖漏洞、樂phone的任意軟件包安裝刪除漏洞等 ,而許多國產手機都存在這樣的危險的漏洞,黑客在入侵時可以做到靜默安裝、刪除、靜默發短信等行為。
瘦瘦老師還分享了如何安全Coding的一些技巧和經驗。他建議使用長期更新的第三方庫/SDK/工具,在應初期的安全設計要注意—傳輸協議,數據加密、 簽名校驗。在開發規范方面要注意測試代碼刪除,最小權限原則、Dont copy without think、Owasp_Mobile_Security,以及如何規避系統漏洞。
最后是百度云安全部資深安全專家郝軼老師為大家帶來《移動互聯網時代下的安全開發生命周期》的分享。
郝老師一出場就自稱安全界郭德綱,以幽默的演講風格把安全這么嚴肅的話題逗笑全場,博得了滿堂彩。郝老師一進入話題就拋出了一個根本性的問題—信息安全工程師需要解決什么?這一問題引起了小編身后幾位小伙伴的討論,然而郝老師的觀點是:”考慮時間和成本,使系統達到安全質量要求。”
之后郝老師用大篇幅講述了安全開發生命周期(SDL)的16個環節,包括其中重點的幾個方面:
安全基線:確定安全和隱私質量 的最低可接受的級別;
風險評估:包括微 建模、隱私影響、模糊測試、基線提升、滲透模式、評審設計;
STRIDE:欺騙標識、權限提升、拒絕服務、信息泄露、決絕履約、串改數據。
做安全事件的第一原則:不保證安全事件不發生,需要做好事件應急響應的預案工作。
最后,郝軼老師總結出移動互聯網時代下的安全周期的安全開發生命周期。
在郝老師分享過后,整場公開課進入了最后幸運抽獎的環節,通過四輪的抽取調查問卷,來到現場的同學之中有10個羅技無線鼠標,5個藍牙音箱和3個3G無線路由器,在這個過程當中,郝老師還沒有停止安全內容演講,分別對抽取的調查問卷所填寫的信息內容做了漏洞分析,幽默的的表達使得全場爆笑。按照慣例,51CTO還送出本次線下公開課的最終大獎,分別是2套雷蛇鍵鼠套裝和價值1600的WOT2015移動互聯網開發者大會電子門票3張。
MDSA線下公開課每月一期,力求為廣大開發者解決移動開發各個環節中遇到的問題。也希望更多開發者關注51CTO,關注MDSA。 我們也將一如既往為廣大開發者邀請業內最權威的講師,分享最有價值的干貨,希望更多的開發者不斷加入MDSA的大家庭,下期見。
