什么是应用安全开发的最佳实践?

安全
对于移动开发人员来说,什么才是最重要的应用安全最佳实践?答关于移动开发最佳实践是一项技巧,需要考虑多个变量。

对于移动开发人员来说,什么才是最重要的应用安全最佳实践?安全专家Kevin Beaver给出了答案。

[[122893]]

回答关于移动开发最佳实践是一项技巧,需要考虑多个变量。所有的应用程序,包括传统的客户端/服务器端的和web应用,开发人员都要考虑如下的一些事情:

◆对于用户来说,什么样的功能是必须有的?这通常定义了许多安全方面。

◆如何在最小的攻击表面平衡丰富功能?

◆什么样的信息需要输入和处理?这也很大的安全隐患。

那么,当然所有的安全“最佳实践”文档,如OWASP Top 10 Project和 SANS Top 25包含了输入验证,会话管理之类的。

在很多方面,移动可以更简单,因为功能往往都是受限的。也就是说,当为移动设备考虑额外的安全措施时,你需要考虑如下的一些事情 :

信息是如何输入到应用中的?进行模糊测试和为web应用对移动注入的工具并不多,但你仍然需要确保这类信息已经被验证。

怎样从应用程序中提取信息?这对于移动应用往往都是马后炮。然而,当使用如Elcomsoft iOS Forensic Toolkit的Oxygen Forensic Suite这样的工具时,以设备的固件升级模式连接手机或平板时,一些鉴证工具是可用的,也是很开眼界的。

信息是如何转换的?对于传统的应用来说,加密传统要摆在一个很重要的位置上,但在移动上往往会被忽视。我曾看到过大量的应用程序以纯文本的HTTP形式转转换所有东西。

信息最终将被转换存储到什么地方,而且如何保护它?这含有安全和法律的含义,尤其当涉及到未受到保护的移动设备和第三方云应用时。

回到最初的问题上,我已经说过对于移动开发人员来说,最重要的应用实践是看到未来大的前景。退一步,看看一切将如何操作和交互,来确保你掌握了一切。否则,你将把一切置于危险之中,这将不是所愿意看到的。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2013-12-17 14:07:37

2016-01-06 11:00:18

2019-02-14 13:21:31

2017-03-28 19:57:43

DevOpsIT框架

2009-08-20 09:41:36

2012-12-13 09:47:50

2012-04-20 10:10:35

2014-09-30 09:38:35

2012-12-24 09:49:08

SaaSSaaS安全

2009-01-03 14:57:19

ibmdwLotusWeb2.0

2024-08-21 08:02:47

2012-09-07 10:54:06

2024-01-05 00:33:23

2018-04-04 04:26:09

2012-04-24 09:58:26

2010-04-20 09:14:33

Struts

2009-12-31 10:16:49

2024-09-03 16:28:20

2018-08-28 07:30:50

云安全云服务多云

2014-06-27 13:32:07

GartnerAWS安全亚马逊AWS
点赞
收藏

51CTO技术栈公众号