移动应用安全
点击看大图基本信息
- 原书名: Mobile Application Security
- 原出版社: McGraw-Hill
- 作者: (美)Himanshu Dwivedi(希曼苏.德维威迪) Chris Clark(克里斯.克拉克) David Thiel(大卫.蒂尔) [作译者介绍]
- 译者: 李祥军 罗熊
- 丛书名: 安全技术大系
- 出版社:电子工业出版社
- ISBN:9787121154409
- 上架时间:2012-2-6
- 出版日期:2012 年2月
- 开本:16开
- 页码:322
- 版次:1-1
- 所属分类:
计算机 > 软件与程序设计 > 移动开发 > 其他移动开发技术
内容简介回到顶部↑
移动应用不仅仅是下一波技术浪潮,在不远的将来对于很多关键活动而言,它将成为默认的计算方式,如e-mail、在线购物、游戏甚至娱乐等。本书介绍了手机、pda等移动设备面临的主要安全挑战以及一些移动应用安全开发中的技巧。以android、iphone、windows mobile、blackberry以及symbian等操作系统为例,详细阐述了这些系统的安全功能以及如何利用这些功能来开发安全的移动应用,如防护缓冲区溢出、sql注入攻击以及部署私钥与公钥密码技术等。
针对当前的热点应用,本书还介绍了wap、蓝牙、sms、mms、移动地理定位等移动应用面临的安全威胁、自身存在的安全不足以及由此带来的安全风险,并介绍了针对移动平台的企业安全问题,以及不同系统的安全措施和安全防护手段。
针对当前的热点应用,本书还介绍了wap、蓝牙、sms、mms、移动地理定位等移动应用面临的安全威胁、自身存在的安全不足以及由此带来的安全风险,并介绍了针对移动平台的企业安全问题,以及不同系统的安全措施和安全防护手段。
作译者回到顶部↑
本书提供作译者介绍
Himanshu Dwivedi
Himanshu Dwivedi是iSEC Partners公司的创始人之一,作为一家信息安全公司,iSEC致力于应用安全,详情请访问www.isecpartners.com。Himanshu负责iSEC公司的产品研发和市场营销。
Himanshu还是业界知名的作家,已出版6本安全方面的著作:Hacking VoIP(No Starch Press)、Hacking Exposed: Web 2.0(McGraw Hill/Professional)、Hacker’s Challenge 3(McGraw Hill/Professional)、Securing Storage(Addison Wesley)、Implementing SSH(Wiley)。此外,Himanshu还拥有一项申.. << 查看详细
Himanshu Dwivedi是iSEC Partners公司的创始人之一,作为一家信息安全公司,iSEC致力于应用安全,详情请访问www.isecpartners.com。Himanshu负责iSEC公司的产品研发和市场营销。
Himanshu还是业界知名的作家,已出版6本安全方面的著作:Hacking VoIP(No Starch Press)、Hacking Exposed: Web 2.0(McGraw Hill/Professional)、Hacker’s Challenge 3(McGraw Hill/Professional)、Securing Storage(Addison Wesley)、Implementing SSH(Wiley)。此外,Himanshu还拥有一项申.. << 查看详细
目录回到顶部↑
《移动应用安全》
第1部分 移动平台
第1章 移动应用主要问题及开发策略 2
1.1 移动终端面临的主要问题 2
1.1.1 物理安全 2
1.1.2 数据存储安全(磁盘) 3
1.1.3 应用有限的键盘实现强认证 3
1.1.4 支持多用户的安全 4
1.1.5 安全浏览环境 4
1.1.6 加固操作系统 4
1.1.7 应用隔离 5
1.1.8 信息泄露 5
1.1.9 病毒、蠕虫、后门、间谍软件和恶意软件 5
1.1.10 艰难的补丁更新/升级过程 6
1.1.11 严格使用和实施ssl 6
1.1.12 钓鱼攻击 7
1.1.13 跨站请求伪造(cross-site request forgery,csrf) 7
1.1.14 位置隐私/安全 7
1.1.15 不安全的设备驱动 8
1.1.16 多因素认证 8
第1部分 移动平台
第1章 移动应用主要问题及开发策略 2
1.1 移动终端面临的主要问题 2
1.1.1 物理安全 2
1.1.2 数据存储安全(磁盘) 3
1.1.3 应用有限的键盘实现强认证 3
1.1.4 支持多用户的安全 4
1.1.5 安全浏览环境 4
1.1.6 加固操作系统 4
1.1.7 应用隔离 5
1.1.8 信息泄露 5
1.1.9 病毒、蠕虫、后门、间谍软件和恶意软件 5
1.1.10 艰难的补丁更新/升级过程 6
1.1.11 严格使用和实施ssl 6
1.1.12 钓鱼攻击 7
1.1.13 跨站请求伪造(cross-site request forgery,csrf) 7
1.1.14 位置隐私/安全 7
1.1.15 不安全的设备驱动 8
1.1.16 多因素认证 8
前言回到顶部↑
移动计算已然来临。几十年了,一直说有一天计算机最终将变为手掌大小,而今这一天来到了,如今的移动设备具备了桌面机/笔记本电脑的功能。这一变革的第一步就是智能手机,也称为PDA电话,它内置有微操作系统,可供用户阅读邮件及访问互联网。阅读邮件和访问互联网是很重要的功能,但毫无疑问,推动移动手机从只是笔记本电脑的延伸到逐步替代笔记本电脑的关键是手机上的移动应用。与19世纪80年代相似,那时主要推动因素不是桌面机上的硬件,而是在其上能够应用的不同类型的软件。之所以应用移动设备,主要是因为其所支持的应用程序,而不是因为它有台式机的功能。Apple iPhone就是一个非常好的例子,用户转向使用这款移动设备,是因为它上面有许多应用,而不是仅仅因为它能够用来检查邮件和访问互联网。除了iPhone,还有BlackBerry,它们将许多商务功能扩展到了用户的手中,包括美国第44任总统。除了iPhone和BlackBerry,市面上还有一些新的力量,例如Google Android,一些熟悉的面孔,如Windows Mobile,以及Symbian系统,它几乎随处可见。
除移动应用外,移动革命的另一个重要催化剂是通信技术的不断发展,特别是带来了具有广阔的无线自由的高带宽技术。举例来说,802.11不久前在移动设备上得以支持,给用户带来了带宽,但并没有给用户在离开家庭/办公室时仍能保持连续连接的自由,而这则是真正移动性的重要部分。具有高带宽的真正的端到端自由所带来的通信模式是移动设备取得成功非常关键的一部分。例如,在轻量级的硬件上内置轻量级操作系统实现时相对容易,但是集成无线宽带功能却用了较长的时间。在此之前,用户虽然也能够同步数据,但是因为速度很慢,这种功能很快就变得无人问津。一旦“移动通信模式”能够提供足够高的带宽,给用户一个持续在线的模式,用户对这些移动设备(以及为这些设备编写的应用程序)的接受程度就会显著增加。这种转变给数据带来的是非常实在的特性,将令其“无处不在”。
本书概览
至此,我们已经回顾了移动设备面临的一些挑战,下面介绍本书如何来解决这些挑战。本书分为两个部分,第一部分是移动应用平台,包括第2~8章。这些章节讨论了移动设备上的主要操作系统平台,包括Google Android、Apple iPhone、Windows Mobile、RIM BlackBerry、J2ME以及Symbian。这些章节主要讨论如何应用这些平台来开发安全的应用。例如,在其中解决了第一章中列举的15大问题中的许多个,包括安全存储、应用隔离以及恶意软件线程。对于那些对利用这些平台的安全模型感兴趣的应用程序开发人员而言,这些章节应该看做是一份操作指南。许多内容在各章节之间是共享的,因此,可以在阅读关于Google Android应用程序隔离的章节时,将之与Apple iPhone和微软WinMobile部分中相同的章节进行对比。操作系统的几章包含了许多相同的内容分类,例如应用程序隔离、应用签名以及更新升级,因此读者可以在它们之间进行对比和比较。同时,也有具体针对某一平台的内容分类,例如应用程序商店的具体实现方式。在阅读了所有这些操作系统基础章节之后,一定要看一下第13章,该章精炼地概括了这些移动平台。
本书的后半部分内容更加多样,讨论了第1章中提到的15大问题中的一些具体攻击类型,也介绍了新的关注领域,例如SMS和蓝牙的相关安全问题。这些章节并不一定和移动应用直接相关,但是随着许多移动应用开始利用蓝牙、SMS或者GPS,这使得这些章节也成为了相关的部分。这些章节将帮助读者完全掌握15大问题中的许多技术问题,以及一些新的问题。例如,虽然SMS并不是一个移动应用,但它在许多移动应用程序中大量应用,甚至是用于安全目的。用户向某一特定短信号码发送请求短信,在确定短信来自某一手机号码之后,许多银行网站会向用户发送一些银行账户信息(详细讨论见第8章)。这种融合将移动手机上的SMS功能/不足与移动HTML关联到了一起,并使得讨论SMS、蓝牙、GPS以及其他与应用层融合的手机功能变得重要。
除移动应用外,移动革命的另一个重要催化剂是通信技术的不断发展,特别是带来了具有广阔的无线自由的高带宽技术。举例来说,802.11不久前在移动设备上得以支持,给用户带来了带宽,但并没有给用户在离开家庭/办公室时仍能保持连续连接的自由,而这则是真正移动性的重要部分。具有高带宽的真正的端到端自由所带来的通信模式是移动设备取得成功非常关键的一部分。例如,在轻量级的硬件上内置轻量级操作系统实现时相对容易,但是集成无线宽带功能却用了较长的时间。在此之前,用户虽然也能够同步数据,但是因为速度很慢,这种功能很快就变得无人问津。一旦“移动通信模式”能够提供足够高的带宽,给用户一个持续在线的模式,用户对这些移动设备(以及为这些设备编写的应用程序)的接受程度就会显著增加。这种转变给数据带来的是非常实在的特性,将令其“无处不在”。
本书概览
至此,我们已经回顾了移动设备面临的一些挑战,下面介绍本书如何来解决这些挑战。本书分为两个部分,第一部分是移动应用平台,包括第2~8章。这些章节讨论了移动设备上的主要操作系统平台,包括Google Android、Apple iPhone、Windows Mobile、RIM BlackBerry、J2ME以及Symbian。这些章节主要讨论如何应用这些平台来开发安全的应用。例如,在其中解决了第一章中列举的15大问题中的许多个,包括安全存储、应用隔离以及恶意软件线程。对于那些对利用这些平台的安全模型感兴趣的应用程序开发人员而言,这些章节应该看做是一份操作指南。许多内容在各章节之间是共享的,因此,可以在阅读关于Google Android应用程序隔离的章节时,将之与Apple iPhone和微软WinMobile部分中相同的章节进行对比。操作系统的几章包含了许多相同的内容分类,例如应用程序隔离、应用签名以及更新升级,因此读者可以在它们之间进行对比和比较。同时,也有具体针对某一平台的内容分类,例如应用程序商店的具体实现方式。在阅读了所有这些操作系统基础章节之后,一定要看一下第13章,该章精炼地概括了这些移动平台。
本书的后半部分内容更加多样,讨论了第1章中提到的15大问题中的一些具体攻击类型,也介绍了新的关注领域,例如SMS和蓝牙的相关安全问题。这些章节并不一定和移动应用直接相关,但是随着许多移动应用开始利用蓝牙、SMS或者GPS,这使得这些章节也成为了相关的部分。这些章节将帮助读者完全掌握15大问题中的许多技术问题,以及一些新的问题。例如,虽然SMS并不是一个移动应用,但它在许多移动应用程序中大量应用,甚至是用于安全目的。用户向某一特定短信号码发送请求短信,在确定短信来自某一手机号码之后,许多银行网站会向用户发送一些银行账户信息(详细讨论见第8章)。这种融合将移动手机上的SMS功能/不足与移动HTML关联到了一起,并使得讨论SMS、蓝牙、GPS以及其他与应用层融合的手机功能变得重要。
加载中...
