信息安全技术基本保障_知道创宇获邀CSDN技术主题月：移动信息安全

  本文关键词：信息安全技术，由笔耕文化传播整理发布。

2016年11月12日，由CSDN举办的“CSDN技术主题月：移动信息安全技术的挑战与创新”特别邀请了知道创宇资深安全技术顾问锅涛老师进行演讲。主持人隆重介绍了来自知道创宇安全技术老司机锅涛老师为大家带来《黑无止境》移动端黑客攻防思路的演讲。

锅涛介绍到：”移动技术使我们整个生活发生了转变，现在人们基本上使用移动设备进行办公，我们生活中也会经常使用移动设备进行社交或者支付。安全本身不仅仅局限于我们的Web或者是PC端，开发端IOS和安卓的开发人员越来越多，这也是因为我们生活习惯导致的。未来移动市场肯定会成为我们整个生活的主角，就会出现对移动端安全信息的窃取，以及我们资产的窃取等等，有的资源和资产的地方不免会成为黑客们的目标。”

锅涛老师首先从黑客攻防的角度介绍了移动端的安全事件都是怎么发生的：”黑客在攻击任何一家企业，或者说在发动任何一次攻击的时候，他都有成本。我们做防护就是为了增加黑客攻击的成本，无论是做代码混淆还是加固，成本提高了他可能就会放弃攻击，但是他会寻找新的突破口，什么是新的突破口？现在黑客更倾向程序设计缺陷的漏洞利用，因为黑客最终是要拿到移动端和最终的核心数据库连接的信息、用户的信息，并通过这个缺陷进行资产盗窃。”

锅涛总结了应用逻辑存在的几条原因，分别是：

1、业务的发展过快造成了程序员必须快速地去准备代码，没有时间去回看所有代码。

2、开发水平不一，安全开发的人员还是少数，传统开发还是占多数的，，造成每个人的代码，尤其是在开发大项目的是时候，很多会存在设计上的缺陷。

3、分析本身APP的漏洞，一半的比例都是业务漏洞，而没有一个自动化的漏洞发现程序能够全部发现逻辑漏洞。

4、业务逻辑漏洞利用的就是开发人员本身人的缺陷，造成了它逃逸于各种防护，无论是经过了代码混淆、加固或是使用了其他技术防护措施等等，他还是可以进行逃逸的。

最后锅涛列举了两个通过移动端安全漏洞被黑客攻击的案例并总结称“不论移动端口还是业务逻辑安全漏洞都将会是未来信息安全的主战场，然而在业务逻辑漏洞的处理发现中，漏洞探测技术的质量要从技术本身和企业渗透测试团队的经验决定。知道创宇渗透测试是由知道创宇知名安全专家组成的安全团队，针对Web系统——进行专属定制全方位的安全检测。”

声明：CSDN登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

  本文关键词：信息安全技术，由笔耕文化传播整理发布。