本文關(guān)鍵詞：信息安全技術(shù)，由筆耕文化傳播整理發(fā)布。

2016年11月12日，由CSDN舉辦的“CSDN技術(shù)主題月：移動信息安全技術(shù)的挑戰(zhàn)與創(chuàng)新”特別邀請了知道創(chuàng)宇資深安全技術(shù)顧問鍋濤老師進行演講。主持人隆重介紹了來自知道創(chuàng)宇安全技術(shù)老司機鍋濤老師為大家?guī)怼逗跓o止境》移動端黑客攻防思路的演講。

鍋濤介紹到：”移動技術(shù)使我們整個生活發(fā)生了轉(zhuǎn)變，現(xiàn)在人們基本上使用移動設(shè)備進行辦公，我們生活中也會經(jīng)常使用移動設(shè)備進行社交或者支付。安全本身不僅僅局限于我們的Web或者是PC端，開發(fā)端IOS和安卓的開發(fā)人員越來越多，這也是因為我們生活習(xí)慣導(dǎo)致的。未來移動市場肯定會成為我們整個生活的主角，就會出現(xiàn)對移動端安全信息的竊取，以及我們資產(chǎn)的竊取等等，有的資源和資產(chǎn)的地方不免會成為黑客們的目標(biāo)。”

鍋濤老師首先從黑客攻防的角度介紹了移動端的安全事件都是怎么發(fā)生的：”黑客在攻擊任何一家企業(yè)，或者說在發(fā)動任何一次攻擊的時候，他都有成本。我們做防護就是為了增加黑客攻擊的成本，無論是做代碼混淆還是加固，成本提高了他可能就會放棄攻擊，但是他會尋找新的突破口，什么是新的突破口？現(xiàn)在黑客更傾向程序設(shè)計缺陷的漏洞利用，因為黑客最終是要拿到移動端和最終的核心數(shù)據(jù)庫連接的信息、用戶的信息，并通過這個缺陷進行資產(chǎn)盜竊。”

鍋濤總結(jié)了應(yīng)用邏輯存在的幾條原因，分別是：

1、業(yè)務(wù)的發(fā)展過快造成了程序員必須快速地去準(zhǔn)備代碼，沒有時間去回看所有代碼。

2、開發(fā)水平不一，安全開發(fā)的人員還是少數(shù)，傳統(tǒng)開發(fā)還是占多數(shù)的，，造成每個人的代碼，尤其是在開發(fā)大項目的是時候，很多會存在設(shè)計上的缺陷。

3、分析本身APP的漏洞，一半的比例都是業(yè)務(wù)漏洞，而沒有一個自動化的漏洞發(fā)現(xiàn)程序能夠全部發(fā)現(xiàn)邏輯漏洞。

4、業(yè)務(wù)邏輯漏洞利用的就是開發(fā)人員本身人的缺陷，造成了它逃逸于各種防護，無論是經(jīng)過了代碼混淆、加固或是使用了其他技術(shù)防護措施等等，他還是可以進行逃逸的。

最后鍋濤列舉了兩個通過移動端安全漏洞被黑客攻擊的案例并總結(jié)稱“不論移動端口還是業(yè)務(wù)邏輯安全漏洞都將會是未來信息安全的主戰(zhàn)場，然而在業(yè)務(wù)邏輯漏洞的處理發(fā)現(xiàn)中，漏洞探測技術(shù)的質(zhì)量要從技術(shù)本身和企業(yè)滲透測試團隊的經(jīng)驗決定。知道創(chuàng)宇滲透測試是由知道創(chuàng)宇知名安全專家組成的安全團隊，針對Web系統(tǒng)——進行專屬定制全方位的安全檢測。”

聲明：CSDN登載此文出于傳遞更多信息之目的，并不意味著贊同其觀點或證實其描述。

  本文關(guān)鍵詞：信息安全技術(shù)，由筆耕文化傳播整理發(fā)布。