您的位置: 北京軟件開發(fā)公司 > 新聞動態(tài) >
軟件開發(fā)公司的iOS應(yīng)用程序的安全性漏洞_北京軟件開發(fā)公司
發(fā)表日期:2015-09-08 16:25:16 ?? 文章編輯:宜天信達 ?? 瀏覽次數(shù):
軟件開發(fā)公司的iOS黑客有軍隊中的一句老話:“將軍們總是過去的戰(zhàn)爭,特別是如果他們已經(jīng)贏得了它。“很簡單,這意味著在準(zhǔn)備下一種威脅,我們應(yīng)該抵制太密切在過去的戰(zhàn)爭中戰(zhàn)斗在不同時期有不同的技術(shù)和環(huán)境。盡管法國被侵占馬其諾防線–完美防御進一步侵略戰(zhàn)德國,但幾乎無用的反對二戰(zhàn)德國閃電戰(zhàn)。
所以它是應(yīng)用程序的安全性。在網(wǎng)絡(luò)時代的早期,仍有很強的經(jīng)典桌面漏洞如棧溢出和緩沖區(qū)溢出的恐懼?,F(xiàn)在,我們在移動應(yīng)用的時代,世界的安全仍然停留在網(wǎng)絡(luò)安全領(lǐng)域。盡管事實上,它已經(jīng)超過兩年以來的OWASP組發(fā)布10大漏洞移動一些開發(fā)商認(rèn)為,移動安全測試他們的應(yīng)用程序。
上周,研究人員發(fā)現(xiàn)尚未對iOS應(yīng)用的另一個漏洞類型。通過一個中間人的方法,攻擊者可以欺騙一個iOS應(yīng)用程序和API對惡意URL的Web通信,不是一次而是永遠(yuǎn)的事實。Ars Technica有攻擊的細(xì)節(jié),由安全組Skycure發(fā)現(xiàn),但總結(jié)很簡單。
事實證明,許多iOS應(yīng)用沒有強有力的保護免受惡意301重定向為API調(diào)用。301重定向是一個基本的網(wǎng)絡(luò)命令,說,“這東西不在了。它在那兒吧。”網(wǎng)絡(luò)的主人使用它時,將內(nèi)容從一個地方到另一個環(huán)節(jié)的工作順利,即使內(nèi)容的地址變了。但如果我能影響你的應(yīng)用程序的通信,并說“你的API是真的在我的惡意服務(wù)器,然后我在理論上可以攔截或修改所使用的應(yīng)用程序的內(nèi)容。因為301碼信號的一個永久重定向,您的應(yīng)用程序?qū)⒗^續(xù)我已不再直接干預(yù)經(jīng)過長時間的使用我的惡意服務(wù)器。
解決這個問題很簡單。確保你的應(yīng)用程序使用SSL通信的明文代替。認(rèn)為在這個時代,任何人都會使用加密API很奇怪,但這是很好的理由。通過將加密你的API的流量額外的步驟,你還要確保你的用戶只能看到正確的內(nèi)容并沒有什么惡意或虛假。SSL證書是比較便宜的成本,軟件開發(fā)公司的應(yīng)用程序因為安全問題失去信譽。