3.1 安全意识和能力提升

研发过程中的安全教育本质上就是两件事:增强安全意识和提升安全能力。没有安全意识就不会觉得安全是重要的,心态上已经有风险。而只有安全意识没有安全能力可能最终效果还是不好,对于一些常见的安全问题如果你不知道或没有了解,即使把代码放到眼前可能还是不知道。安全意识和安全能力在安全教育中缺一不可。

3.1.1 安全意识

系统设计和编码过程中的安全意识主要包括十大设计原则,以CISSP相关资料的统计来看,90%的问题可以借由这些原则来避免。

  • 简单易懂。使系统设计保持简单。通常来说,越复杂的设计越容易出错,也越难以审查和评估。
  • 最小特权。只授予执行操作所需的最少访问权,并且对于该访问权只允许使用所需的最少时间。
  • 故障安全化。系统故障几乎不可避免,应确保在系统发生故障时,能够以安全的方式处理业务逻辑。比如强制报错或自动关闭,这好过于使系统处于非预期状态。
  • 保护最薄弱环节。管理学中的“木桶原理”适用于安全风险管理,系统的安全程度取决于最脆弱的环节,因为这部分可能最易受到攻击影响。
  • 提供纵深防御。采取多层次的一系列防御措施,以便在一层防御不能发现或阻断风险时,另一层防御将“抓住它”。
  • 隔离原则。类似于大型舰船都会在内部分为很多船舱,每个船舱都独立且密封。这样当发生风险或攻击时,一个船舱被破坏不会导致整个舰船沉没,提升了整体的安全性。但需要小心的是,这个措施必须适度,因为分割过多之后整个系统将难以管理。
  • 总体调节。需要关注全流程的安全性而不单单是某个点。
  • 默认不信任。无论是系统外部还是内部,都有可能存在攻击者,所以良好的系统设计需要默认不信任。
  • 保护隐私。一些法律法规明确禁止使用的数据就不要采集,需要保护的客户隐私信息必须经过正确的安全处理,包括脱敏、加密、加密Hash等。
  • 公开设计。千万不要假设“藏起来的”设计就是安全的。历史上的DVD解密算法就是一个极好的例证。真正安全的设计,比如大家经常使用的标准加解密算法,公开了所有的数据原理、算法和代码实现,并且经受了无数人不停的攻击尝试却依然安全。这种才是安全的设计。

3.1.2 安全能力

安全能力的内容主要包括以下几个方向。

1. 常见Web安全漏洞原理与防御(也可参考OWASP[4]

  • SQL注入漏洞
  • XSS漏洞
  • CSRF漏洞
  • 目录穿越&任意文件读取
  • 命令注入漏洞
  • XXE漏洞
  • 上传漏洞
  • SSRF漏洞
  • 任意URL跳转
  • Clickjacking
  • 逻辑漏洞

2. 常见App安全漏洞原理与防御

(1)Android

  • Web组件远程代码执行漏洞
  • AppKey信息泄露漏洞
  • 目录遍历漏洞
  • Intent协议解析越权漏洞
  • 应用克隆漏洞
  • Fragment框架层注入漏洞
  • Scheme SQL注入漏洞
  • 后门SDK
  • Content Provider组件本地SQL注入漏洞
  • Content Provider组件数据泄露漏洞
  • 私有目录写漏洞
  • 不安全随机数算法
  • Manifest不安全属性配置
  • 强制类型转换本地拒绝服务漏洞
  • 弱加解密算法漏洞
  • 系统组件本地拒绝服务漏洞
  • 密钥硬编码漏洞
  • Activity组件暴露风险
  • Service组件暴露风险
  • BroadcastReceiver组件暴露风险
  • ContentProvider组件暴露风险
  • 自定义权限滥用风险
  • 私有文件泄露风险
  • Intent组件数据泄露风险
  • TCP/UDP开放端口风险
  • 目标API低版本风险

(2)iOS

  • XCodeGhost后门
  • iBackDoor后门
  • AFNetworking中间人漏洞
  • 后门/恶意SDK包
  • AppKey信息泄露漏洞
  • 密钥硬编码漏洞
  • 弱加解密算法漏洞
  • URI Scheme风险
  • 不安全随机数算法

3. 常见二进制安全漏洞原理与防御

  • 栈溢出漏洞
  • 堆溢出漏洞
  • 整数溢出漏洞
  • 双重释放漏洞
  • 释放后重引用漏洞
  • 数组越界访问漏洞
  • 类型混淆漏洞
  • 条件竞争漏洞
  • 格式化字符串漏洞

3.1.3 隐私合规

除了之前安全能力所提到的敏感数据的处理以外,另一个常常被忽视的领域是安全隐私合规类。最近两年国家监管机构也在重点整治移动端App隐私合规问题,该问题也需要非常关注,否则可能会导致应用被下架处理。App常见隐私合规行为如下:

  • 敏感权限声明
  • 使用接听拨打电话行为
  • 使用接收发送短信行为
  • 使用摄像头行为
  • 使用麦克风行为
  • 获取地理位置信息
  • 获取通讯录信息
  • 获取通话记录信息
  • 获取设备信息
  • 获取UDID设备标识
  • 获取网络信息
  • HTTP明文传输
  • 权限缺失可用性问题
  • 获取设备已安装应用信息
  • 使用不正常/恶意的SDK