代码编织梦想

近年来,随着互联网、物联网、移动设备、5G通讯等技术的齐头发展,人类的生活和工作越来越离不开软件和互联网,正如人类社会文明发展到一定程度以后,会需要法律等社会规范来保护一样,线上环境也是一样道理。

Gartner 对安全架构的定义是:安全架构是计划和设计组织的、概念的、逻辑的、物理的组件的规程和相关过程,这些组件以一致的方式进行交互,并与业务需求相适应,以达到和维护一种安全相关风险可被管理的状态。因此,安全架构的概念非常宽泛,包括安全控制措施、安全服务(例如身份验证、访问控制等)和安全产品(例如防火墙、入侵检测等)。

文章篇幅有限,故内容聚焦在安全架构中的前端安全防护范畴。

安全设计原则

当今安全设计经典理论中,最为经典、被引用最多的是由 MIT 的 Saltzer 教授在 1975 年首先提出的 8 大安全设计基本原则,被安全业界奉为 “经典安全原则”。经过业界多年的发展和总结,在原有 8 大经典设计原则的基础上,进一步完善和延伸,例如 “纵深防御”、“不要轻信”、“保护薄弱环节”、“提升隐私” 原则等。

前端安全问题

近年来有8大问题尤其引起关注:

  1. 跨站脚本攻击(Cross-Site Scripting)

  2. 使用iframe的风险

  3. 点击劫持

  4. 错误的内容推断

  5. 不安全的第三方依赖包

  6. HTTPS中间人攻击

  7. 本地存储数据泄露

  8. CDN劫持/污染

如此多的、影响重大的前端安全问题,直接把软件安全防范推上了风口浪尖,安全人员面临着挑战也倍数级增长。

端侧安全的主流解决方案

基于端侧可能得安全问题,市场上有以下6大主流解决方案:

1、APP 代码保护。由于开源技术的进步,攻击者很容易就可以获得应用的反编译代码(基本是应用源代码)。针对此攻击,提高逆向分析的门槛,可以进行代码混淆、dex 加壳、so 加壳等方式对代码进行保护。

2、APP 运行时保护。对移动端应用的逆向分析还有动态调试。通过动态调试还可以伪造或篡改请求 / 响应包,从而攻击服务器端。此种攻击可以采用市场上的一些加固工具软件对APP 进行加固保护,防止恶意破解、反编译、二次打包等。

3、APP 第三方代码安全。移动应用开发过程中,出于功能需求等原因,开发人员不可避免会集成一些其他第三方提供的代码,如 SDK。这些第三方代码未经测试和评估就直接嵌入到应用中直接使用,容易出现不可预料的后果。一方面是第三方代码的安全性未经测试,可能存在安全漏洞被攻击者利用,从而威胁整个应用的正常使用。另一方面,第三方代码额外实现了冗余功能或者申请多余的特权,可能造成用户隐私信息泄露,或者一系列恶意行为。

对于此类威胁,安全设计方案是:

1)App中大部分是web或者小程序类轻应用,可以采用市面上的安全沙箱类技术(如:FinClip),对应用进行统一的上下架管理。其特点主要体现在三个方面:

  • 沙箱内小程序之间的隔离

  • 沙箱对运行其中的小程序代码,隔离其对宿主环境的资源访问。

  • 沙箱隔离了宿主对于沙箱中运行的小程序所产生的数据。

2)集成第三方代码时,开发人员应尽可能了解第三方代码的功能,以及尽可能保证第三方代码的安全性。

4、APP 端业务安全。为了防止 APP 用户恶意注册及薅羊毛等恶意行为,可以在 APP 中加入设备指纹,进行数据埋点等,将 APP 数据接入业务风控平台,进行业务反欺诈。

5、Web 安全。对于 Web 安全,关注常见的 OWASP TOP 10 漏洞,如注入、身份认证、敏感信息泄露、安全配置错误等。常见的防御措施有认证、授权、加密、审计、输入验证等。

6、Restful API 安全。Restful API 以 URI 方式对外提供数据服务或功能服务。外部用户多数情况下是程序或系统。提供的数据服务或功能服务多数情况下,是非公开的,即需要对 HTTP 请求来源和身份做识别与认证,再经过授权决策(访问控制)后,提供相应的数据或执行功能。

随着技术的进步和发展,相信还会有更多的技术解决方案冒出。如果您有更好的技术方案,欢迎在文章评论区留言。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/speedoooo/article/details/127848514

iot技术架构与安全威胁_huangshulang1234的博客-爱代码爱编程

                                            IoT技术架构与安全威胁 来源:http://www.broadview.com.cn/article/62 物联网IoT的英文全称是“The Internet of Things”,即物联网就是物物相连的互联网,也就是人们常说

app产品安全架构_李萧统的博客-爱代码爱编程_app 安全架构

APP产品安全架构 目标 主要涉及软件设计层面的企业级安全措施,网络基础安全方面,DDOS、CSRF、XSS等防护措施不在本文范围内。 目标: 网络数据传输保护:包括数据加密,防窃听保护防范api接口恶意攻击与破坏网络病毒防护:隔离互联网潜在病毒 当前企业级APP系统常用安全架构方案 当前企业级APP系统面临的软件设计层面的安全问题包括:网络数据

工地智能安全帽方案/设计案列/app_waiwulianwang的博客-爱代码爱编程

建筑工地是一个安全事故多发的场所。目前,工程建设规模不断扩大,工艺流程纷繁复杂,如何完善现场施工现场管理,控制事故发生频率,保障文明施工一直是施工企业、政府管理部门关注的焦点。尤其随着社会的不断进步和城市化进程的快速发展,政

“云管边端”协同的边缘计算安全防护解决方案-爱代码爱编程

摘 要 边缘计算是 5G 重要新技术能力,通过低延时、大流量、高性能服务促进新应用创新。边缘计算能力的实施面临物理、网络、协议、应用、管理等多层面的威胁,急需新安全防护能力支撑。该解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。 关键

云安全架构的设计-爱代码爱编程

公有云安全概述 云安全职责划分-共同担责 软件即服务SAAS 云服务厂家几乎负责所有的安全性,因为租户只能访问、管理和使用其提供的应用程序,但无法对应用程序做破坏性操作。例如:SAAS服务厂家提供安全、日志、运维、审计、应用安全性检测等,二租户只能给管理租户账户和权限。 平台及服务PAAS 云

前后端分离的架构,如何保障 API 的安全-爱代码爱编程

  1、前言   前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。   网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音

云上应用安全防护-爱代码爱编程

云上应用安全防护简介 应用安全包括: 应用环境安全:漏洞扫描,代码托管,代码审计,安全加固应用配置安全:ACM配置加密应用保护:WAF (Web 应用防火墙) 防护应用安全产品 应用级防护产品主要包括:Web应用防火墙和网站威胁扫描系统 Web应用防火墙网站威胁扫描系统Web应用安全概述 介绍一下:Web应用安全问题以及相关的防护方法和工具

Android APP安全测试-爱代码爱编程

1、Android APP安全分析风险 1.1安全威胁分析 安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁。 1.2面临的主要风险 1.3Android测试思维导图 1.4反编译工具 有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apkto

android安全性优化——app加固_守住android最后的光的博客-爱代码爱编程

现今移动应用市场火爆,APP数量呈爆发式增长,随着5G的逐渐广泛应用,APP增长趋势不断。正因APP的泛滥,网络攻击者的目标也在逐渐转移,数亿的移动互联网用户暴露在病毒攻击的范围之内,也使得手机APP安全形势更加不

无胁科技-tvd每日漏洞情报-2022-11-8_无胁科技blog的博客-爱代码爱编程

漏洞名称:D-Link DIR-823G 命令注入漏洞 漏洞级别:严重 漏洞编号:CVE-2022-43109;CNNVD-202211-1987 相关涉及:D-Link DIR-823G v1.0.2版本 漏洞状态:POC 参考链接:https://tvd.wuthreat.com/#/listDetail?TVD_ID=TVD-2022-21445

移动前端安全防护主流方案_finbird的博客-爱代码爱编程

近年来,随着互联网、物联网、移动设备、5G通讯等技术的齐头发展,人类的生活和工作越来越离不开软件和互联网,正如人类社会文明发展到一定程度以后,会需要法律等社会规范来保护一样,线上环境也是一样道理。 Gartner 对安全架