MDSA线下公开课APP安全话题满意度达到100%是如何炼成的?

原创
移动开发
MDSA线下公开课每月一期,力求为广大开发者解决移动开发各个环节中所遇到的问题。也希望更多开发者关注51CTO;关注MDSA。 我们会一如既往为广大开发者邀请业内最权威的讲师,分享最有价值的干货

如何让暴风雨过后的北京再添色彩?6月27日,51CTO MDSA第四期线下公开课在北京黄苑大酒店三层会议厅火爆开场,近百位移动互联网企业的APP开发者、测试工程师和安全技术爱好者参与了本次线下公开课。

[[138127]] 

在移动互联网时代,APP已经渗透到人们的日常生活,更是占据生活绝大部分的碎片化时间。而在近期,多个网站、APP客户端频频出现故障以及信息泄露问题,APP安全如同一把利剑,随时都有可能指向企业正常运转的命门。

与其在惊变后的茫然失措,不如在日常中加强安全意识和提升防御能力。也正如此,51CTO特别邀请了来自北京娜迦信息科技发展有限公司的CTO阎文斌(ID:玩命);乌云白帽子、高级安全研究员瘦蛟舞和百度云安全部资深安全专家郝轶,从APP安全方面的底层、硬件到方法,全面围绕着整个生命周期和案例全面分析,为大家带来一场移动APP开发安全防护的饕餮盛宴。

公开课下午两点正式开始,首先是娜迦CTO阎文斌老师(ID:玩命),为大家带来《Android软件保护技术》的主题分享。一开场就对APP安全问题给出了自己的观点,阎老师认为,目前软件保护的成本很高,碎片化的Android系统以及国内各种山寨的Adnroid系统导致使安全市场比较混乱。

[[138128]] 

紧接着阎老师分享了Android原生APP的保护方式—DIS的实现原理。

而ELF文件中的符号表,字符串表、哈希表、重定位表,是整个ELF文件中最核心的四个部分,表阎老师人为重定位表相对于其他来说更加重要。

同时,阎老师还分享了连接器的基本流程、TDK的原理、TDK加载器类、TDK壳入口的函数、此外TDK中一些给开发者使用的的变量也做了详细的分析。

最后更是对AOP安全代理技术和针对SO进行深层次开发的解读。

较为丰富的内容及精彩的剖析使之后的QA环节异常踊跃,开发者的热情高涨,剑锋对麦芒,提问不断,现场交锋异常激烈。

[[138129]] 

[[138130]] 

接下来是来自乌云白帽子的瘦瘦老师为大家带来《Droid APP Security Coding》的主题演讲。

[[138131]] 

瘦瘦老师一开始就表示Android系统对各种APP的访问设置了许多权限,但这些看起来很安全的权限实际上并非如此。

谷歌认为SD卡是公共区域,访问并不需要权限。但用户的使用习惯会经常将照片存放在SD卡中,因此,艳照门这类的事故发生在Android手机当中比苹果手机的概率会比较大。

瘦瘦老师还提示 在场的小伙伴在使用Github的时候不要把企业的私钥也传到网上,因为许多黑客会选择在网上收集一些信息对企业进行攻击。

接下来是瘦瘦老师对一些常见重要的漏洞进行分析。其中WEBVIEW漏洞是最常见危害也是最大的。还包括了一些国产手机厂商的一些漏洞,比如酷派的应用锁漏洞、乐phone的任意软件包安装删除漏洞等 ,而许多国产手机都存在这样的危险的漏洞,黑客在入侵时可以做到静默安装、删除、静默发短信等行为。

瘦瘦老师还分享了如何安全Coding的一些技巧和经验。他建议使用长期更新的第三方库/SDK/工具,在应初期的安全设计要注意—传输协议,数据加密、 签名校验。在开发规范方面要注意测试代码删除,最小权限原则、Dont copy without think、Owasp_Mobile_Security,以及如何规避系统漏洞。

最后是百度云安全部资深安全专家郝轶老师为大家带来《移动互联网时代下的安全开发生命周期》的分享。

[[138132]] 

郝老师一出场就自称安全界郭德纲,以幽默的演讲风格把安全这么严肃的话题逗笑全场,博得了满堂彩。郝老师一进入话题就抛出了一个根本性的问题—信息安全工程师需要解决什么?这一问题引起了小编身后几位小伙伴的讨论,然而郝老师的观点是:”考虑时间和成本,使系统达到安全质量要求。”

之后郝老师用大篇幅讲述了安全开发生命周期(SDL)的16个环节,包括其中重点的几个方面:

安全基线:确定安全和隐私质量 的最低可接受的级别;

风险评估:包括微 建模、隐私影响、模糊测试、基线提升、渗透模式、评审设计;

STRIDE:欺骗标识、权限提升、拒绝服务、信息泄露、决绝履约、串改数据。

做安全事件的第一原则:不保证安全事件不发生,需要做好事件应急响应的预案工作。

最后,郝轶老师总结出移动互联网时代下的安全周期的安全开发生命周期。

在郝老师分享过后,整场公开课进入了最后幸运抽奖的环节,通过四轮的抽取调查问卷,来到现场的同学之中有10个罗技无线鼠标,5个蓝牙音箱和3个3G无线路由器,在这个过程当中,郝老师还没有停止安全内容演讲,分别对抽取的调查问卷所填写的信息内容做了漏洞分析,幽默的的表达使得全场爆笑。按照惯例,51CTO还送出本次线下公开课的最终大奖,分别是2套雷蛇键鼠套装和价值1600的WOT2015移动互联网开发者大会电子门票3张。

[[138134]] 

[[138135]] 

[[138136]] 

[[138137]] 

 

MDSA线下公开课每月一期,力求为广大开发者解决移动开发各个环节中遇到的问题。也希望更多开发者关注51CTO,关注MDSA。 我们也将一如既往为广大开发者邀请业内最权威的讲师,分享最有价值的干货,希望更多的开发者不断加入MDSA的大家庭,下期见。

责任编辑:chenqingxiang 来源: 51CTO
相关推荐

2015-01-20 13:37:18

2015-06-05 20:31:19

MDSA线下公开课

2015-03-05 17:42:34

MDSA线下公开课

2015-01-20 15:48:34

MDSA线下公开课app质量

2015-08-29 19:17:35

移动业务运维

2009-04-09 08:58:19

Windows 7微软操作系统

2012-09-05 11:06:19

2020-04-17 16:44:17

智能办公室物联网IOT

2016-04-24 11:40:41

51CTO网+APP产品设计

2012-04-02 22:40:27

iPad

2015-08-17 09:58:34

51CTOMDSA运维技术沙龙

2018-12-13 15:30:42

百度智能小程序

2010-08-23 14:01:25

互联网

2014-12-30 11:26:28

MDSA线下公开课app质量

2016-02-01 14:54:33

51CTO 网+公开课UI设计

2010-08-23 11:01:03

SAPCRM

2021-01-20 14:55:34

JavaScript开发者满意度

2015-05-31 19:51:39

APPMDSA

2014-08-05 16:14:51

腾讯创业吴晓波

2015-01-05 12:44:36

MDSA线下沙龙线下公开课
点赞
收藏

51CTO技术栈公众号