科技与创新┃ScienceandTechnology&Innovation·86·2023年第04期文章编号:2095-6835(2023)04-0086-04一种建设APP网络安全纵深防御体系的综合方案研究*刘威(中国电信股份有限公司重庆分公司,重庆401122)摘要:随着移动互联网的飞速发展,移动APP的开发呈现出爆发式的增加,使人们能够便捷地畅游互联网,但同时也带来了安全威胁,比如APP中间件漏洞、业务逻辑漏洞等可导致服务器被攻击、用户信息被窃取,甚至威胁到用户财产安全。渗透测试是黑客和白帽子(安全工程师)针对APP、IT系统进行安全评估、安全攻击的综合方法。安全人员利用渗透测试,可以发现业务系统中的各项安全漏洞,在漏洞被利用前整改修复。但是如果系统被黑客渗透测试挖掘到漏洞并被利用,可造成严重危害。针对APP的安全解决方案,目前业界主流做法是采用第三方平台进行加固,可以防止APP出现被破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安全风险,但是这种加固方法不能解决被渗透测试后导致未被发现的其余高危漏洞利用造成服务器权限被获取、SQL注入、越权、用户信息泄露、资金损失等高危风险问题。主要研究了如何预防APP被非法渗透测试、预防APP被抓包破解等问题,从多个维度针对APP进行保护,从应用层面自我加固APP,做到及时阻断未知安全风险,保障APP的安全性。关键词:APP;纵深防御;预防渗透测试;网络安全中图分类号:TN915.08文献标志码:ADOI:10.15913/j.cnki.kjycx.2023.04.024当前互联网快速发展,用户可直接在网上下载日常使用的APP,主要下载渠道包括APP运营者官网、第三方APP应用分发平台,比如华为应用市场、小米应用市场等。工信部《2020年1—11月互联网和相关服务业运行情况》一文公布,截至2020年11月末,中国国内市场上监测到的APP数量为346万款。互联网上暴露的APP如此之多,相信还有部分公司的内部APP未被统计,暴露公网的APP非常容易被黑客进行渗透测试,如果被非法挖掘到漏洞进而被恶意利用,会对用户信息、资产安全和公司系统安全造成比较大的影响。在各公司内部,安全部门针对网络安全防护和漏洞检测都有着严格的要求和制度。作为安全研究员,除了常规的软件源代码静态审计、APP加固方式,还需要思考研究其他的红蓝对抗攻防方案。本文以平时安全工作为基点,先从黑客视角分析研究APP渗透测试技术,再从反渗透测试,与黑客进行对抗,研究如何预防APP被渗透测试,在重庆电信内部进行多角度建设针对APP安全的纵深防御体系。1APP常见渗透测...
