在之前的文章里，移動(dòng)安全作家Evan Schuman介紹了避免移動(dòng)安全問題6條建議中的前三條，以下是第四五六條建議。

　　一種最為常見的移動(dòng)應(yīng)用程序安全技術(shù)是采用旨在識(shí)別常見安全問題的自動(dòng)化腳本或程序。該方法對小型企業(yè)很有吸引力，因?yàn)樗�即快捷又相對價(jià)格低廉。但不幸的是，自動(dòng)化腳本卻識(shí)別不了即使現(xiàn)今最基本移動(dòng)應(yīng)用程序日益增強(qiáng)的復(fù)雜性所造成的安全問題。正因?yàn)槿绱�，小企業(yè)應(yīng)該考慮聘請一位移動(dòng)應(yīng)用程序安全專家，他既不是移動(dòng)應(yīng)用程序開發(fā)專家，也不同于安全專家，甚至網(wǎng)絡(luò)安全專家。

　　“移動(dòng)應(yīng)用程序測試不同于任何其他類型的測試”，在惠普Fortify部門負(fù)責(zé)移動(dòng)應(yīng)用程序測試流程的Daniel Miessler表示。“你必須要考慮到手機(jī)客戶端，網(wǎng)絡(luò)以及服務(wù)器各個(gè)方面，這些地方都存在有大量使你遺留數(shù)據(jù)瀏覽路徑記錄的機(jī)會(huì)。 ”

　　也不要認(rèn)為這只是個(gè)小企業(yè)才面臨的安全漏洞問題。最新的受害者是誰呢?是美國以營業(yè)額計(jì)算最大的公司沃爾瑪。沃爾瑪?shù)囊苿?dòng)應(yīng)用程序收集并保存內(nèi)部引用信息，開發(fā)人員姓名，地理位置歷史記錄甚至密碼 – 對此沃爾瑪悉數(shù)不知，盡管它進(jìn)行了廣泛的內(nèi)部測試，當(dāng)然其中大部分測試是通過自動(dòng)化腳本完成的。直到一名移動(dòng)安全測試人員破解了他下載到自己iPhone上的沃爾瑪應(yīng)用程序，其安全漏洞才最終被發(fā)現(xiàn)。

　　認(rèn)證信息系統(tǒng)安全專家以及全球信息保障認(rèn)證滲透安全測試員Daniel Wood，是一名長期研究移動(dòng)應(yīng)用程序安全的研究員。自動(dòng)掃描和分析可以捕獲許多安全缺陷和漏洞，Wood說，但是企業(yè)通過自動(dòng)方法只能看到所面臨攻擊面的一部分。“擁有真正編程能力和安全性測試技能，并能夠從編程方面 - 源代碼 – 以及應(yīng)用程序業(yè)務(wù)邏輯雙方面檢測應(yīng)用程序的測試人員，無可或缺。”Wood說。

　　一個(gè)自動(dòng)掃描有局限性的例子是識(shí)別跨站點(diǎn)腳本( XSS)漏洞，或當(dāng)攻擊者偽裝惡意編碼，并將其置入看起來可信任的鏈接時(shí)。“手工測試可能能夠通過應(yīng)用程序儲(chǔ)存文檔，或?yàn)樵试S用戶在瀏覽器中注釋PDF文檔而使用某個(gè)特別功能的方式，識(shí)別出XSS漏洞”，Wood說。 “如果一個(gè)應(yīng)用程序有此功能，安全測試人員(或小偷)就可以在瀏覽器中彈出XSS漏洞的注釋中創(chuàng)建一個(gè)惡意鏈接，以竊取受害者的會(huì)話內(nèi)容。而自動(dòng)化掃描無法理解做這種測試所包含的邏輯。

　　建議4 ：腳本適用于電影，卻不適用于移動(dòng)應(yīng)用程序安全性。當(dāng)涉及到移動(dòng)應(yīng)用程序安全性測試時(shí)，還是要以人為本。

　　記住密碼，舍棄自動(dòng)填充

　　即便你只是收集最不敏感的信息，或是提供幾乎沒一點(diǎn)真實(shí)性的定制服務(wù)，移動(dòng)專家也要強(qiáng)調(diào)密碼的重要性。為什么呢?是為了提供一個(gè)能夠密切關(guān)注誰在您的網(wǎng)站上做什么的簡單而準(zhǔn)確的方法。如果顧客一再打開應(yīng)用程序上的某個(gè)產(chǎn)品，這種行為很可能會(huì)是有用的數(shù)據(jù)。

　　為了使所有與你公司的交互行為變得盡量輕松，企業(yè)可能會(huì)希望自己的移動(dòng)應(yīng)用程序記住 - 或自動(dòng)填充 - 客戶的密碼，這樣客戶就不必在每一個(gè)應(yīng)用程序啟動(dòng)時(shí)重新鍵入。美國幾個(gè)最大品牌移動(dòng)應(yīng)用程序出現(xiàn)的安全問題則提出了一條逆勢忠告：抵制這種誘惑。為了保護(hù)客戶，請放棄這一便利。

　　盡管并不缺少允許保存當(dāng)前移動(dòng)設(shè)備上密碼的安全方式，但有問題的高知名度應(yīng)用程序也不少。星巴克保存密碼卻不小心以所有人都看得到的純文本格式進(jìn)行存儲(chǔ)。達(dá)美航空很聰明的加密了客戶的保留密碼。但不幸的是，達(dá)美航空卻以明文形式保存加密密鑰。

　　IT服務(wù)公司Research Into Internet Systems LLC創(chuàng)始人兼總裁，同時(shí)是Android Best Practices一書作者的Godfrey Nolan，發(fā)現(xiàn)了達(dá)美航空的這一安全漏洞。

　　“如果你的應(yīng)用程序上有你不希望別人看到的任何敏感信息，那么請確保您的用戶必須輸入用戶名和密碼進(jìn)行登錄”，Nolan說。“他們必須在每一次程序打開時(shí)輸入密碼。如果您的應(yīng)用程序并非如此，則其密碼很可能被保存在本地，那這絕對是一個(gè)極其壞的主意。”

　　建議5 ：保存客戶密碼的風(fēng)險(xiǎn)大于便利。對于絕大多數(shù)由小企業(yè)提供的應(yīng)用程序來說，要求客戶在應(yīng)用程序啟動(dòng)是輸入密碼都不會(huì)是一個(gè)大問題。放棄這層安全保護(hù)會(huì)構(gòu)成危險(xiǎn)。請記住，單用一個(gè)密碼就可以在網(wǎng)上完全模仿你的客戶。

　　把第三方交互當(dāng)作有無窮陷阱的險(xiǎn)惡之地

　　現(xiàn)在最大的移動(dòng)應(yīng)用程序安全問題并不是公司的開發(fā)者對應(yīng)用程序做了什么，也不是什么第三方程序(合并在公司移動(dòng)應(yīng)用程序以內(nèi))做了什么。而是意外交互所造成那些的安全漏洞。讓我們回到了星巴克的例子，零售連鎖企業(yè)以明文保留客戶密碼的問題不在于它的程序。該數(shù)據(jù)被流行崩潰分析程序Crashlytics抓取了(其也被沃爾瑪使用 - 現(xiàn)由Twitter所有) 。

　　星巴克表示，密碼保留不是它的錯(cuò)，因?yàn)榱闶凵瘫旧頉]有保留數(shù)據(jù); 是Crashlytics干的。 Crashlytics的人說，這也是不是他們的錯(cuò)，因?yàn)樗麄優(yōu)榭蛻籼峁┤绾握{(diào)配程序和設(shè)置的明確指示。結(jié)果最終發(fā)現(xiàn)還是星巴克的錯(cuò)，因?yàn)槲譅柆敳渴鹆送瑯拥腃rashlytics程序，但卻不允許其保存密碼。

　　建議6 ：測試，測試，再測試。鑒于小企業(yè)緊張的IT預(yù)算，有必要重新利用現(xiàn)有技術(shù)功能，以提供也能被移動(dòng)應(yīng)用程序使用的標(biāo)準(zhǔn)功能。但請記住，這些程序沒有經(jīng)過相互合作測試，也沒有與你的移動(dòng)應(yīng)用程序進(jìn)行交互測試。在承擔(dān)伴隨移動(dòng)應(yīng)用程序而來的問題之前，自己測試以發(fā)現(xiàn)任何的問題。不要等著你身后的網(wǎng)絡(luò)小偷幫你發(fā)現(xiàn)問題。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：謹(jǐn)防自動(dòng)化腳本引發(fā)的移動(dòng)安全問題

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839413835.html