软件开发公司的iOS应用程序的安全性漏洞_北京软件开发公司
发表日期:2015-09-08 16:25:16 文章编辑:宜天信达 浏览次数:
软件开发公司的iOS黑客有军队中的一句老话:“将军们总是过去的战争,特别是如果他们已经赢得了它。“很简单,这意味着在准备下一种威胁,我们应该抵制太密切在过去的战争中战斗在不同时期有不同的技术和环境。尽管法国被侵占马其诺防线–完美防御进一步侵略战德国,但几乎无用的反对二战德国闪电战。
所以它是应用程序的安全性。在网络时代的早期,仍有很强的经典桌面漏洞如栈溢出和缓冲区溢出的恐惧。现在,我们在移动应用的时代,世界的安全仍然停留在网络安全领域。尽管事实上,它已经超过两年以来的OWASP组发布10大漏洞移动一些开发商认为,移动安全测试他们的应用程序。
上周,研究人员发现尚未对iOS应用的另一个漏洞类型。通过一个中间人的方法,攻击者可以欺骗一个iOS应用程序和API对恶意URL的Web通信,不是一次而是永远的事实。Ars Technica有攻击的细节,由安全组Skycure发现,但总结很简单。
事实证明,许多iOS应用没有强有力的保护免受恶意301重定向为API调用。301重定向是一个基本的网络命令,说,“这东西不在了。它在那儿吧。”网络的主人使用它时,将内容从一个地方到另一个环节的工作顺利,即使内容的地址变了。但如果我能影响你的应用程序的通信,并说“你的API是真的在我的恶意服务器,然后我在理论上可以拦截或修改所使用的应用程序的内容。因为301码信号的一个永久重定向,您的应用程序将继续我已不再直接干预经过长时间的使用我的恶意服务器。
解决这个问题很简单。确保你的应用程序使用SSL通信的明文代替。认为在这个时代,任何人都会使用加密API很奇怪,但这是很好的理由。通过将加密你的API的流量额外的步骤,你还要确保你的用户只能看到正确的内容并没有什么恶意或虚假。SSL证书是比较便宜的成本,软件开发公司的应用程序因为安全问题失去信誉。