曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        移動銀行應用程序的應用程序和代碼強化概述
        發布時間:2020-03-17 09:36:22   閱讀次數:

        1-20031F9491Y51.png

        應用程序強化通常包括處理一個已經開發的應用程序,并對其進行轉換,以使其難以/不可能進行反向工程和篡改。

        通常將其與安全編碼(代碼強化)結合使用,以便盡可能減少攻擊面。有一些技術可以衡量應用程序的攻擊面。 


        被動應用強化

        被動強化的目標是基于靜態分析(尤其是反編譯)的攻擊。這些技術主要使用混淆。目的是使即使將其轉換為偽代碼,也很難將應用程序轉換為易于理解的代碼。這不會改變應用程序本身的邏輯和行為。  


        主動應用強化

        在現實生活中,黑客使用的不僅僅是靜態分析。他們使用動力學分析;在帶有調試器和仿真器的模擬環境中運行移動應用程序。主動應用程序加固可創建運行時保護并修改應用程序的行為,以便在檢測到動態分析工具時相應地對其做出響應。


        此類保護通常包括: 

        • 反調試

        • 反生根/越獄

        • 防重新包裝移動應用程序


        代碼強化

        代碼強化包括防止應用程序代碼中的安全漏洞,以便即使可以反轉應用程序,也不會利用任何缺陷。


        代碼強化中使用的一些基本技術如下:

        • 通過檢查輸入,并在可能的情況下,使用防御性編程方法(例如代碼約束)來防止各種溢出。

        • 防止緩沖區溢出

        • 避免使用解釋器并將數據傳遞給他們

        • 確保所有對系統變量的調用

        • 使用形式方法


        安全可控的代碼簽名

        代碼簽名是強化代碼的有效方法。這樣,操作系統就可以檢查未修改應用程序,并且該應用程序是原始應用程序。這還可以通過檢查此類應用程序補丁和升級的真實性來防止獲取“惡意”更新。


        對代碼進行簽名時,需要確保簽名證書的可信與安全可控。攬閣信息推薦使用Thales的HSM安全存儲GlobalSign或天威誠信的數字證書,并利用其融合性解決方案對代碼進行簽名。詳情請與攬閣信息聯系。


        強化不是可選的

        應用程序強化和代碼強化是防止源代碼被盜和應用程序被逆轉的寶貴技術。在移動銀行和移動支付應用程序中,這實際上不是可選的。


        例如,關于知識產權保護(IP),美國國防商業秘密法 (DTSA)和歐盟指令943于2016年投票通過,明確否認將通過反向工程獲得的數據視為“秘密數據”。因此,對于移動銀行應用程序的所有者,沒有任何法律保護可防止第三方撤消其應用程序并發布部分或全部源代碼。因此,這些法律對非常強大的源代碼混淆提出了新的要求。此外,PCI委員會現在需要風險控制系統來積極防止安裝了銀行應用程序的手機的調試和生根/越獄:


        移動支付接受應用程序應得到加強,以防止意外的邏輯訪問或對應用程序的篡改,例如代碼注入或逆向工程??梢允褂枚喾N技術來強化移動支付接受應用程序,從而減少攻擊面


        關于代碼固化,將PCI委員會特別建議,手機銀行應用程序的開發使用安全編碼技術和準則,如支付應用數據安全標準(PA-DSS)中,CERT安全編碼標準,并ISECOM,OSSTMM,或OWASP安全編碼文檔。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精