黑客大曝光：移动应用安全揭秘及防护措施

内容概要

Neil Bergman

Neil Bergman是Cigital公司的资深安全顾问。他已经领导和组织了针对业界顶尖财经和软件公司内关键应用的渗透测试、代码审查和架构风险分析。他不仅组织了针对Web服务、Web应用、活跃客户端的大量评估，也主导了许多移动平台安全评估，例如Android、iOS和RIM。他的主要研究领域包括移动和Web应用的漏洞发现与挖掘。他毕业于James Madison大学并获得计算机科学硕士学位，于North Carolina State大学获得计算机科学学士学位。

Mike Stanfield

Mike Stanfield是一名安全顾问，于2012年加入Cigital公司，该公司是企业软件安全咨询公司。作为Cigital移动安全实践的一部分，Mike专门从事针对iOS、Android和Blackberry平台的应用安全评估和渗透测试，并且参与Cigital移动软件安全培训课程的开发和传授。他在移动支付平台，包括GlobalPlatform/Java Card applet的安全和开发等方面，都有相关的工作经验。在加入Cigital之前，他是Indiana大学学生事务部门的信息技术主管。同时，他也作为Indiana大学科研管理办公室的授权分析家，参与了开源项目Kuali Coeus的开发。Mike现在居住在Manhattan，在Indiana大学学习安全信息学，并且获得Indiana State大学的人类学学士学位。

Jason Rouse

Jason Rouse在安全方面拥有数十年的亲身经验，这些经验都是从他为全球诸多顶尖公司服务的实践中得来的。现在，他是负责Bloomberg LP产品和服务安全团队的成员之一，同时还在探索如何能够重新开发可信计算和怎样将可信计算应用于普遍存在的生物测量学中。Jason对于安全领域充满激情，他参与了提高Bloomberg安全效能和全球极其重要的安全项目上。基于他专业的贡献，他还担任面向移动安全的金融服务技术组织委员会的主席，该委员会致力于提高移动安全性。在加入Bloomberg之前，Jason是Cigital公司的首席顾问。他在Cigital参与了很多项目，包括创建移动和无线安全实践,实施架构评估，并且是全球一些超大型开发机构的可信顾问。在加入Cigital之前，Jason与Carnegie Mellon的CyLab 安全研究室合作创建了下一代移动验证和授权平台并扩展了计算机安全行业的状态。Jason现在居住在Manhattan，获得了加拿大Dalhousie大学计算机科学学士和硕士学位。

Joel Scambray

Joel Scambrary是Cigital公司的主管经理。在过去的15年里，他帮助大量公司（从新近崛起的初创公司到财富500强企业）解决所遇到的信息安全问题，帮助公司抓住难得的机遇。Joel的身份包括主管、技术顾问和企业家。他联合他人创建了信息安全咨询公司Consciere，并在2011年6月Cigital收购Consciere之前，一直担任Consciere领导。他还是微软公司的高级主管，一直领导着微软在线服务和Windows部门安全方面的工作。他还联合创建了安全软件和服务新兴公司Foundsone，该公司于2004年被McAfee收购。在此之前，他担任Ernst & Young的经理、微软TechNet的安全专栏作家、InfoMord杂志的编辑，以及某主营商业实体房产公司的信息技术部门主管。

Joel是信息安全方面一位广为人知的作家和演讲家。他参与完成了十几本信息技术和软件安全方面的著作，很多都是全球畅销书。他在很多大会和组织中进行过演讲，包括Black Hat等会议，IANS、CERT、CSI、ISSA、ISACA、SANS等组织，私有公司，FBI和RCMP之类的政府机构等。

他拥有加利福尼亚大学Davis分校的理学学士学位、UCLA的文科硕士学位，以及信息系统安全专业认证（CISSP）。

书籍目录

译者序

序言

前言

作者简介

致谢

第1章 移动风险 1

1.1 移动生态系统 1

1.1.1 规模 1

1.1.2 已知的不安全 2

1.2 移动风险模型 3

1.2.1 物理风险 7

1.2.2 服务风险 8

1.2.3 应用程序风险 9

1.3 我们的议题 14

1.4 小结 15

第2章 移动网络 17

2.1 基础移动网络功能 18

2.1.1 互操作性 18

2.1.2 语音呼叫 21

2.1.3 控制信道 21

2.1.4 语音信箱 24

2.1.5 短信服务 24

2.2 攻击与对策 26

2.3 IP的美好新世界 36

2.4 小结 38

第3章 iOS系统 39

3.1 了解iPhone 40

3.2 iOS到底有多安全 41

3.3 越狱：发泄愤怒 43

3.4 入侵别人的iPhone：再次释放心中的怒火 50

3.5 小结 63

第4章 Android系统 65

4.1 安全模型 67

4.2 应用程序组件 68

4.3 数据存储 68

4.4 近场通信（NFC） 69

4.5 Android的发展 69

4.5.1 Android模拟器 70

4.5.2 Android调试桥（ADB） 71

4.6 获得系统权限（rooting） 71

4.7 反编译和反汇编 73

4.8 截取网络流 76

4.8.1 添加受信任的CA证书 76

4.8.2 配置一个代理服务器 78

4.9 基于Intent的攻击 82

4.10 基于近场通信的攻击 84

4.11 信息泄露 87

4.11.1 通过内部文件的泄露 87

4.11.2 通过外部存储的泄露 88

4.11.3 通过日志的信息泄露 89

4.11.4 不安全的组件造成的信息泄露 91

4.11.5 通常的防止信息泄露的策略 94

4.12 小结 94

第5章 移动恶意软件 96

5.1 Android平台恶意软件 97

5.2 iOS蠕虫 112

5.3 Android与iOS中的恶意软件对比 116

5.4 小结 117

第6章 移动服务和移动网络 118

6.1 通用Web服务安全指南 119

6.2 针对基于XML的Web服务的攻击 120

6.3 通用认证和授权框架 124

6.3.1 OAuth 2 125

6.3.2 SAML 130

6.4 移动Web浏览器和WebView安全 135

6.4.1 利用自定义URI配置 135

6.4.2 利用JavaScript Bridges 140

6.5 小结 150

第7章 移动设备管理 151

7.1 MDM框架 151

7.2 设备调配 152

7.3 绕过MDM 156

7.4 反编译与应用程序调试 163

7.5 越狱检测 166

7.6 远程擦除和锁定 168

7.7 小结 168

第8章 移动开发安全 169

8.1 移动应用威胁建模 169

8.1.1 威胁 171

8.1.2 资产 173

8.1.3 结束和利用威胁模型 174

8.2 安全的移动开发指南 174

8.2.1 准备 175

8.2.2 移动应用安全指南 177

8.2.3 测试及确定 186

8.2.4 进一步阅读 186

8.3 小结 186

第9章 移动支付 188

9.1 发展现状 188

9.2 非接触式智能卡支付 190

9.2.1 安全元件 190

9.2.2 安全元件API 193

9.2.3 移动应用 193

9.3 Google钱包 194

9.4 Square 201

9.5 小结 204

附录A 客户安全检查表 205

附录B 移动应用渗透测试工具包 208

作者简介

在移动应用和网络技术飞速发展的今天，移动平台、设备与应用的安全面临着前所未有的挑战。本书凝聚了作者30余年的Web安全从业经验，详细介绍如何识别与避免移动安全领域中的关键威胁，涵盖移动领域普遍关心的安全话题，包括攻击者如何攻击网络和设备、服务与应用，防御者应如何加密移动数据、加固移动平台、根绝蠕虫等，为进行安全移动开发提供翔实指导。

全书共分为9章：第1章介绍移动领域的恶意软件，从移动系统的利益相关者、资产、风险和趋势等方面揭示移动安全领域的风险；第2章介绍移动网络中的安全环节：第3章从不同的角度探讨苹果系统的安全；第4章详细介绍Android系统中的安全问题；第5章介绍各种移动终端恶意软件所用的工具和技术，以及防御策略；第6章提供通用WebB匠务安全指南，并且深入分析基于XML~Web服务攻击；第7章详细讨论MDM解决方案，并通过实例讲解MDM框架的具体配置过程；第8章详细介绍各种移动应用威胁模型，为应用开发者提供设计和实施指导；第9章探讨移动支付技术的发展现状及未来趋势，并深入剖析这些移动支付解决方案的安全性问题。最后的附录补充介绍移动终端用户(消费者)的安全检查表，以及移动应用渗透测试工具包等。

 黑客大曝光：移动应用安全揭秘及防护措施下载