-
-
[分享]移动应用安全开发要求(3,访问控制)
-
发表于: 2021-4-2 09:31
-
通常,移动应用的生命周期包括可行性分析与项目开发计划、需求分析、设计、编码、测试、维护等活动,这种按时间分配不同任务的思想方法是软件工程中的一种重要思想原则,即按部就班、逐步推进,每个阶段都要有各自的定义、工作、审查、形成文档以便工作交流或备查,进而达到提高软件质量的目的。
目前,按照应用开发生命周期的思想进行软件设计和开发的理念已经得到广大软件设计和开发人员的广泛认同,但是在应用开发生命周期中对安全性的考虑则往往被忽略,进而产生了很多的软件产品漏洞,给使用应用的人们带来很多工作生活上的不便,甚至造成巨大的经济损失。
在本文中,我们探讨Android应用程序开发过程中对于移动应用访问都有哪些安全开发要求。
访问控制
禁止请求非必要的权限,限制越权访问。
权限管理
1 2 3 4 5 6 7 | 创建基于角色的授权;代码执行权限最小化;可信系统对资源授权与验证;对文件、受保护的URL、受保护的程序功能、受保护的程序数据、受保护的用户/数据属性/策略信息、受保护的访问控制策略、服务端数据创建行为进行访问授权控制;保护存储在客户端的访问状态数据;限制单位时间内事务请求数量;注销长时间不活动账号; |
身份鉴别
1 2 3 4 | 支持用户标识和用户鉴别,确保标识的唯一性;用户每次登录与重新连接系统时,采用受安全管理中心控制的口令、基于生物特征的数据、数字证书以及其他相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,且其中一种鉴别技术产生的鉴别数据是不可伪造的,重要操作可用进一步的口令确认;对鉴别数据进行保密性和完整性保护;若检测到终端越权操作等非法动作,则根据策略做不同级别的响应:审计、提示、告警; |
权限最小化
1 2 3 4 5 | 账号登录限制保护。限制同一个账号同时在多个设备上成功登录移动终端;只开放必要的软件权限,防止扣费风险、隐私泄露风险等;系统在分配权限时应满足最小授权原则,只需授予不同管理员用户(系统管理员、系统安全员、安全审计员等)完成各自任务所需的最小权限;系统不应只通过界面限定用户的权限,防止攻击者绕过界面的限制直接提交请求;对系统输出数据检查,禁止较低权限用户或用户组越权访问,限制同权限用户或用户组越权访问; |
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
