移动安全测试指南中国年月移动安全测试指南目录前言卷首语关于移动安全测试指南版权和许可鸣谢中文版说明中文版团队简介概述移动安全测试指南介绍移动安全验证标准导览通用移动测试指南移动应用分类移动安全性测试篡改和逆向工程移动的身份验证架构网络通信测试移动应用的加密测试代码质量测试用户交互移动安全测试指南移动安全测试平台概述基础测试数据存储加密本地身份验证网络平台应用程序的代码质量和构建设置系统上的篡改和逆向工程反逆向防御移动安全测试平台概述基础安全测试数据存储加密上的本地身份验证网络平台应用程序的代码质量和构建设置系统上的篡改和逆向工程反逆向防御移动安全测试指南附录测试工具建议阅读全文速览移动安全测试指南前言欢迎浏览移动安全测试指南请自由阅读现有内容但需注意的是它可能随时会更新新接口和最佳实践会随着每个主版本和小版本发布而被引入到和安卓里同时每天也都会发现新的威胁如果您有任何反馈或建议或希望参与做一些贡献请在上创建一个或者在上联系我们请参阅里的说明年安全峰会期间一个风和日丽的夏日一群人七男一女加大约三只松鼠在英国森林庄园相会目前为止没什么特别的但您不知道的是在接下来的天时间里他们不但重新定义了移动应用安全还重新定义了本书编制的基础讽刺的是这一事件发生在公园附近那里曾经是伟大的艾伦图灵的住所和工作场所或许可能扯得有点远了但至少他们为一本非同寻常的安全书籍作了一个概念验证移动安全测试指南是一个开放敏捷众包的成果是由来自全世界各地几十位作者和评审人员共同贡献而成鉴于这不是一本普通的有关安全方面的书籍本文的介绍中并没有列出令人印象深刻的事实和数据来证明此时此刻移动设备的重要性它也没有解释移动应用安全是怎么被破坏的及为什么像这样的一本书是非常必要的另外作者们也没有对他们的妻子和朋友进行致谢虽然没有他们这本文是不可能完成的移动安全测试指南然而我们的确有信息需要传递给我们的读者朋友们移动安全测试指南第一条不要只遵守移动安全测试指南想要在移动应用安全方面做到真正卓越要求深刻了解移动操作系统代码和网络安全密码学以及很多其他方面在这本书里许多东西我们只能触探到肤浅的部分请勿止步于安全性测试方面写您自己的应用编译您自己的内核剖析移动端恶意软件学习它们如何运作当您不断学习新东西请考虑您自己给作点贡献或许像他们说的提个版本合并请求吧移动安全测试指南卷首语关于移动安全测试指南移动安全测试指南是一份为测试移动应用安全而写的综合性手册它描述了一些流程和技术用来验证在移动应用安全验证标准里面列举出来的要求还为完整和统一的安全性测试提供了一个底线基准感谢众多作者评审人员和编辑人员为这份指南的推出而付出的努力工作如果您对移动安全测试指南有任何意见和建议请在移动安全项目的频道参与到对和的讨论中来您可以自己用这个邀请链接来注册一个频道如果邀请链接过期了请开一个版权和许可基金会版权所有此作品是基于一份的国际许可下授权的任何复用或分发都必须向对方清楚表明此作品的许可条款本文号为鸣谢注意这份贡献者表格是根据我们的贡献统计生成出来的这些统计的其中详情请参见仓库的文件由于我们是手动更新表格的所以如果您没有立刻出现在表格里请耐心等待原文作者是一位擅长于黑进任何系统的网络安全专员在此领域超过十年的过程中他有许多发布软件零日漏洞的事迹例如服务器以及您说得出名字的他可能都已经攻破它至少一次了美国给他颁发了一个最佳研究奖以赞扬他在移动安全领域的开创性工作移动安全测试指南是一位经验丰富的网页和移动端渗透测试人员他评估了几乎所有软件从历史上著名的应用程序到现今的移动他还是一位安全工程师支持了很多项目的端到端从到构建安全的过程他在一些本地和国际的会面和会议上发表了演讲还在指导关于网页应用程序和移动安全的实践研讨会在是一位举足轻重的安全架构师热衷于移动安全和风险管理他作为一位安全教练安全工程师和作为一位全栈工程师在很多公司工作过这使他成为了一个万事通他喜欢解释一些技术话题从安全问题到编程挑战联合作者联合作者们业持续终如一地贡献了高质量的内容并在里记录了至少个附件是一位在带领着移动安全渗透测试小组的安全工程师在移动和嵌入式系统安全测试领域比如汽车控制单元和物联网设备他获得了许多年的实践经验他对逆向工程和移动动态监测充满了热情并且一直持续学习和分享他的知识是一位热情洋溢的网络安全和隐私专家在网络移动物联网和云领域有超过年的经验纵观他的职业生涯他已经把他的业余时间献给了一系列以推进软件和网络安全为目标的项目他经常在许多福利机构执教他还拥有和认证是移动安全组长他在那里负责为移动安全项目和所有移动产品的研发作质量保障他在高校和大学期间担任开发人员的职务然而当他毕业后就马上转到了网络安全事业现在已经在移动安全领域有超过年的经验了他喜爱与他人分享他的知识这一点从他在学院大学客户和会议上的多次演讲就可以看出来顶级贡献者顶级贡献者们业已始终如一地贡献了高质量的内容并在里记录了至少个附件移动安全测试指南贡献者贡献者业已始终如一地贡献了高质量的内容并在里记录了至少个附件审查人员评审人也已始终如一地通过和评论提供有用的反馈编辑人员移动安全测试指南其他人员许多其他贡献者也提交了少量内容修改例如单个单词或者句子少于个附件全部贡献者名单请移步赞助商在和都被社区自愿创建和维护起来的时候有时候就需要些许外部帮助了我们因此感谢我们的赞助商提供资金使得能够招聘到技术编辑需要注意的是他们的赞助并不会以任何形式影响到和的内容赞助内容包在项目上有描述可敬的赞助者较早前的版本移动安全测试指南于年由创建启动原始文档放在上指南的开发工作在年的月转移到了上作者评审人顶级贡献者移动安全测试指南作者评审人顶级贡献者中文版说明本文为的中文版该版本尽量提供英文版本中的图片并与原版本保持相同的风格存在的差异敬请谅解为方便读者阅读和理解本书中的内容本文对原英文版中的部分章节进行了顺序调整由于译中文者团队水平有限且原文内容量巨大存在的翻译和编制错误敬请指正如果您有关于本书的任何意见或建议可以通过以下方式联系我们邮箱微信公众号移动安全测试指南项目支持单位移动安全测试指南中文版团队简介感谢以下参与中文版移动安全测试指南的成员项目组长肖文棣翻译人员郭秀峰黄小波罗雄奚望任博伦宋荆汉王健达温略淦钟英南曾耀展排名不分先后按姓氏拼音顺序排序审查人员王颉汇编人员赵学文成员简介按姓氏拼音顺序排序郭秀峰郭秀峰毕业于电子科技大学本科计算机科学专业早年网络南国利剑从事过制造业金融及互联网企业信息安全建设安全测试相关工作年现任漏洞盒子安全服务专家职务主要对接大型客户的内部渗透测试攻防演练技术需求和现场实施指导同时负责公司华南区安全服务技术管理工作黄小波黄小波硕士研究生曾在多个知名安全厂商从事病毒分析安全测试逆向等工作拥有丰富的移动安全经验现在互联网安全团队从事源代码安全建设工作罗雄罗雄从事企业信息安全建设渗透测试工作持有安全认证现任博智林机器人高级信息安全经理负责安全产品建设业务安全支撑渗透测试项目管理等工作任博伦任博伦中国陕西区域负责人子午安全实验室高级安全工程师长期从事信息安全攻防相关工作丰富的安全对抗经验尤其对物联网整体安全方案有丰富经验多次参与云端移动端硬件设备端无线通信的安全评审及渗透测试工作宋荆汉宋荆汉华中科技大学计算机科学专业硕士研究生现任深圳开源互联网安全技术有限公司网安加学院院长拥有年各类软件研发及管理经验曾在中软信息安全实验中兴通讯任子行网络全志科技汇金科技担任高级研发管理职位国内较早从事蜜罐系统大规模入侵检测系统移动安全测试指南的研究开发人员发表有相关专业论文曾参与国家软件安全开发相关标准的制定对软件安全开发有比较深入的研究王颉王颉中国副主席英国拉夫堡大学网络安全博士现任深圳开源互联网安全技术有限公司副总经理具有近年的网络安全与软件安全技术研究与从业经验聚焦软件开发安全技术领域的自主安全测试产品研发技术合作标准编制和人才培养自年加入组织和中国分部以来曾参与了中文项目和项目个全球项目并先后主持参与和独立开展了安全编码规范快速参考指南安全测试指南等多个中国分部项目为在国内提高安全组织的影响力提升研究成果的实用性和适用性做出重要贡献王健达王健达因缘而识随缘而行随心而动又因缘而起现为杭州帕拉迪汉武实验室安全研究员为安全而行人生格言阴阳相济阴阳相安温略淦温略淦现任平安国际智慧城市法律合规部信息安全合规经理负责信息安全及数据安全管理体系建设信息安全策略制定指导数据治理落地实施信息科技风险管控及信息化建设等工作参与集团安全产品设计流程升级及数据融合等项目协助监管进行电子取证持等证书早年在初创公司从事移动终端系统开发工程师入职负责海外金融客户咨询及安全运维审计等工作肖文棣肖文棣中国广东分会负责人获得华中科技大学软件工程专业工程硕士学位持有助理解决方案架构师和安全专家等认证现任晨星资讯深圳有限公司安全架构师负责应用安全设计管理和评审等工作奚望奚望就职于云测任职云测安全实验室渗透测试负责人主要从事渗透攻防逆向分析与项目管理工作持有等安全认证对红队攻击移动应用逆向个人隐私合规具有深刻认识移动安全测试指南钟英南钟英南本科学历网络信息安全年以上从业经验现就职于广东安创科技技术总监安创学院安全讲师认证讲师学院高级讲师持有等证书擅长审计安全体系建设风险管理安全产品设计安全合规等领域曾耀展曾耀展毕业于电子科技大学本科就职于毕马威中国数字化转型与智能创新空间任职高级开发以及开发组长早年接触互联网行业并开始涉足前端开发然后进一步从事全栈开发多年多年的大型中外企业从业经验对企业安全标准和安全架构具有深刻认识赵学文赵学文注册软件安全开发人员认证持有者自年加入中国分部以来积极参与中国组织的应用软件安全级别验证参考标准应用软件安全代码审查指南等中文项目为应用软件安全技术的研究与推广做出积极贡献移动安全测试指南概述移动安全测试指南介绍新技术总会引入新的安全风险而移动计算也没有例外移动应用的安全性担忧在一些重要的方面与统桌面软件不太一样现代移动操作系统相比传统桌面操作系统可以认为是更安全的但当我们在移动开发过程中并没有小心地考虑到安全的时候问题依然会出现数据存储内部通讯合理使用加解密和安全的网络通讯等仅仅是其中部分的考虑事项移动应用安全的关键领域移动应用安全的关键领域很多移动渗透测试人员都有网络和网页应用渗透测试背景这于移动测试来说是很有价值的几乎所有的移动都会跟一个后台服务进行通讯而那些服务很容易受到跟我们熟悉的桌面机器上的网页应用同样类型的攻击移动不同之处在于具有较小的攻击面因此也具有更多的安全性来抵挡注入和类似的攻击相反我们应该优先考虑设备和网络的数据保护以增强安全性下面我们来讨论一下移动安全性的关键领域本地数据存储敏感数据保护例如用户的证书和私有信息对移动安全来说至关重要如果一个不当地使用了操作系统例如本地存储或者进程间通讯那么这个可能会给其他运行在同一个设备的暴露了敏感数据它也可能无意间泄露了数据到云端存储备份