黑无止境移动安全“漏洞”

海云安从攻击客的角度看看安全是怎么发生的，未来安全的主战场就在云这一块。未来移动市场肯定会成为我们整个生活的主角，因为移动是主角，就会对移动端安全信息的窃取，以及我们资产的窃取等，有主角的地方就有伤害。我们看到国外安全发展的趋势，尤其是国际上比较知名的Owasp。



从黑客攻击的角度去分析未来攻击主战场，因为硬应用大家通过查阅书籍、网上、社区搜集资料都可以进行多方面的避免。但是黑客攻击的时候，发现攻击想要拿到的数据，就要去平衡一下攻击的成本，如果完全分析带来混淆，我就带来混淆防止别人能够快速分离出代码之间的逻辑。但是黑客也知道你做了大量比较，也就会换思路，就会从一个人的程序设计缺陷的漏洞利用，因为黑客最终是要拿到移动端和最终的核心数据库连接的信息，用户的信息，以及通过缺陷进行资产窃取。黑客的攻击已经从一个应用发展到了一个逻辑。

黑客在发动任何一次攻击的时候，都有成本。做防护就是为了增加黑客攻击的成本，无论是做代码混淆还是加固，成本提高了黑客有可能就会放弃攻击，但是他会寻找新的突破口。这就是下面要跟大家说的移动端里面业务逻辑设计缺陷，为什么业务逻辑设计缺陷会成为未来的一个主要的方向。

  ● 应用逻辑是神一般地存在，老的程序员也是在劫难逃，因为业务的发展造成了程序员没法快速地去准备代码。

  ● 安全开发人员也不能安全避免应用设计缺陷。

  ● App本身的漏洞，一半的比例在业务漏洞上，而自己的逻辑漏洞没有一个自动化的程序促使全员去发现它。

  ● 业务逻辑漏洞利用的就是开发人员本身人的缺陷，造成了它逃逸于各种防护，无论是代码混淆、加固等等。

业务逻辑漏洞之所以会出现是因为业务发展迅速、开发水平不一、第三方缺陷、内部监管不严格也会出现这种漏洞发生。业务逻辑漏洞最常见的就是账号登陆限制的问题。还有安全性的问题，也会发现密码重置，还有的是采用手机号+我的验证码，就造成了黑客可以利用验证码进行破解，以及常见的另一种安全问题是App端的客户端应用。

随着我们业务的发展，发现在金融行业，以及在我们的社交领域另一种手势密码。手势密码安全其实还是可以的，但是手势密码有很多解锁，可以通过多种方式去对手势密码进行一个修改。最常见的有暴力破解，以及去修改这一个文件重置本地手势密码。

在很多的平台，安全数据的发送都跟我们App的测试接口息息相关，安全其实是方方面面的，我们不仅要关注应用漏洞，还有第三方接口漏洞也需要去关注。

而海云安目前推出了国内最深度全面的APP安全测试服务，通过在线的简单注册（www.secidea.com ）就可以立即使用进行APP安全检测评估，并下载详细的检测分析报告，可以对自身应用的安全漏洞状况有一个清晰的了解，欢迎前去体验。