iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 1
2
Security

看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!系列 第 1

Day 01. Why Mobile Application Security

前言

取了一個非常狗血的系列標題,因此第一篇標題當然要特別一點,最後決定使用英文名 Why Mobile Application Security 來開局,是不是很高大尚的標題(自以為) ,Mobile Application Security 在後面為了閱讀方便簡稱為 App資安 (翻譯成中文感覺就變弱了),先從WHAT、WHY、HOW 來認識 App資安

常常會被詢問的問題

以下這些都是很常聽到和被詢問的問題

  • App 又不是什麼大型 App 應該不用特別處理資安
  • 只要不要 JB / Root 就不用擔心資安問題
  • iOS 系統本身就已經很安全了
  • 商業邏輯只要控制在後端,App 應該是即使SourceCode 公開也不擔心資安問題

來談談App資安為何重要 ?

既然要說服別人,首先要也要說服自己資安哪裡重要,不做資安的風險在哪裡

以及保護的東西是什麼

  • 個人資料保護(防止帳號盜用)
  • 交易安全
  • 防止偽造的行為
  • 端點跟端點資料傳輸安全
  • 防止被二次打包成偽造APP
  • ....etc

除了上述項目以外當然還有更多項目,主要是為了讓讀者簡易理解先列出比較大的影響

關於App資安上的問題我全部建議都做 ?

JfMg3Sy

雖然沒有所謂的標準答案,我態度都是有做總比沒做好 , 流汗總比流血好 (誤)

不開玩笑,認真的來說

要先自我評估 App 內有什麼功能,來決定資訊安全控制的等級

有站在保護使用者交易角度,當然也有站在營運/開發商角度避免惡意使用者

當然你的APP 沒有User 資料,沒有交易,不在乎User行為,那麼當然你可以選擇不用在意資安風險

不過現實通常沒這麼單純

舉個例子:?

有個APP做了每日打卡活動,每天進APP 打滿30天,即可獲得 羊小咩的祝福 XD (不要在意這種細節)

我們期望使用者每天都認真的去操作APP,不過惡意使用者,從 App 把當前使用者 token取出,然後直接呼叫打卡的API ,設定個排程一樣可以完成目標,但這就不是開發者所期待的行為

案例分析

  • 使用驗證:App 內有需要先進行使用者登入
  • API: 也需要有使用者登入才能呼叫打卡 API

因此得知即只有後端的驗證仍然是不夠安全,至於怎麼防止這個問題後續的章節會講解到

這30天的主題

雖然還在構思中但主要架構應該如下

  • 行動應用App基本資安檢測
    • 如何申請並取得證書的流程
    • 資安檢測的標準
    • 比較特別的檢測項目
  • OWASP
    • OWASP 是什麼
    • OWASP Application Security Verification Standard
    • OWASP Mobile Top 10
  • 網路傳輸安全
  • 資料儲存安全
  • 常用的雜湊及加解密演算法
  • 混淆

向讀者致謝

大家好我是 羊小咩
https://www.facebook.com/lamb.mei.fans

本身是管理職,並非專職資安人員,而是產業關係接觸電子支付/第三方支付產業/資訊金融業,因此才開始深了解電子支付法、銀行法,安全控制條例等各種資安標準及規範等,不斷 review 自身 App ,跟著公司資安TEAM的資安專家和資安顧問公司請益及學習,開始這條不歸路,當然也會遇到駭客及偽盜冒集團的事件,一步步累積這些經驗及知識,雖說不上專家,但至少是略懂略懂,把現在已經知識藉由這個機會做個系統的整理,如果文內有任何問題及錯字,或在案例中更好的方式都歡迎大家交流及指正,最後感謝讀者們願意抽空閱讀本系列文章

rzKIZuQ

p.s 拖到最後一刻才完成報名,最近事情真的是太多了,覺得沒時間也沒自信可以完賽,但最後覺得人生就是要不斷的挑戰,即使跌倒了也會很豪邁 ,至少可以先完成參加鐵人賽的人生目標清單 (剛開局就先立Flag了)

志在參加不再完賽(笑)


下一篇
Day 02. 行動應用基本資安規範
系列文
看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!31
0
ytyubox
iT邦新手 5 級 ‧ 2020-09-19 18:06:35

WOW,好期待的主題

羊小咩 iT邦新手 5 級 ‧ 2020-09-20 21:14:04 檢舉

/images/emoticon/emoticon18.gif

0
ted00132
iT邦新手 5 級 ‧ 2020-12-21 17:06:09

感謝大大教我們如何免登入拿獎勵

從 App 把當前使用者 token取出,然後直接呼叫打卡的API ,設定個排程一樣可以完成目標

我要留言

立即登入留言