前言

取了一個非常狗血的系列標題，因此第一篇標題當然要特別一點，最後決定使用英文名 Why Mobile Application Security 來開局，是不是很高大尚的標題(自以為) ，Mobile Application Security 在後面為了閱讀方便簡稱為 App資安 (翻譯成中文感覺就變弱了)，先從WHAT、WHY、HOW 來認識 App資安

常常會被詢問的問題

以下這些都是很常聽到和被詢問的問題

• App 又不是什麼大型 App 應該不用特別處理資安
• 只要不要 JB / Root 就不用擔心資安問題
• iOS 系統本身就已經很安全了
• 商業邏輯只要控制在後端，App 應該是即使SourceCode 公開也不擔心資安問題

來談談App資安為何重要 ?

既然要說服別人，首先要也要說服自己資安哪裡重要，不做資安的風險在哪裡

以及保護的東西是什麼

• 個人資料保護（防止帳號盜用）
• 交易安全
• 防止偽造的行為
• 端點跟端點資料傳輸安全
• 防止被二次打包成偽造APP
• ....etc

除了上述項目以外當然還有更多項目，主要是為了讓讀者簡易理解先列出比較大的影響

關於App資安上的問題我全部建議都做 ?

雖然沒有所謂的標準答案，我態度都是有做總比沒做好 ， 流汗總比流血好 (誤)

不開玩笑，認真的來說

要先自我評估 App 內有什麼功能，來決定資訊安全控制的等級

有站在保護使用者交易角度，當然也有站在營運/開發商角度避免惡意使用者

當然你的APP 沒有User 資料，沒有交易，不在乎User行為，那麼當然你可以選擇不用在意資安風險

不過現實通常沒這麼單純

舉個例子：?

有個APP做了每日打卡活動，每天進APP 打滿30天，即可獲得 羊小咩的祝福 XD (不要在意這種細節)

我們期望使用者每天都認真的去操作APP，不過惡意使用者，從 App 把當前使用者 token取出，然後直接呼叫打卡的API ，設定個排程一樣可以完成目標，但這就不是開發者所期待的行為

案例分析

• 使用驗證：App 內有需要先進行使用者登入
• API： 也需要有使用者登入才能呼叫打卡 API

因此得知即只有後端的驗證仍然是不夠安全，至於怎麼防止這個問題後續的章節會講解到

這30天的主題

雖然還在構思中但主要架構應該如下

• 行動應用App基本資安檢測
  • 如何申請並取得證書的流程
  • 資安檢測的標準
  • 比較特別的檢測項目
• OWASP
  • OWASP 是什麼
  • OWASP Application Security Verification Standard
  • OWASP Mobile Top 10
• 網路傳輸安全
• 資料儲存安全
• 常用的雜湊及加解密演算法
• 混淆

向讀者致謝

大家好我是 羊小咩
https://www.facebook.com/lamb.mei.fans

本身是管理職，並非專職資安人員，而是產業關係接觸電子支付/第三方支付產業/資訊金融業，因此才開始深了解電子支付法、銀行法，安全控制條例等各種資安標準及規範等，不斷 review 自身 App ，跟著公司資安TEAM的資安專家和資安顧問公司請益及學習，開始這條不歸路，當然也會遇到駭客及偽盜冒集團的事件，一步步累積這些經驗及知識，雖說不上專家，但至少是略懂略懂，把現在已經知識藉由這個機會做個系統的整理，如果文內有任何問題及錯字，或在案例中更好的方式都歡迎大家交流及指正，最後感謝讀者們願意抽空閱讀本系列文章

p.s 拖到最後一刻才完成報名，最近事情真的是太多了，覺得沒時間也沒自信可以完賽，但最後覺得人生就是要不斷的挑戰，即使跌倒了也會很豪邁 ，至少可以先完成參加鐵人賽的人生目標清單 （剛開局就先立Flag了)

志在參加不再完賽（笑）