本文從APP端和服務端兩個方面來爲各位開發者簡單介紹一些那些開發過程中最常見到的漏洞。
本次首先介紹APP端的敏感信息泄露漏洞。
敏感信息可分爲產品敏感信息和用戶敏感信息兩類,我們對產品敏感信息是這樣界定的:
泄露後直接對企業安全造成重大損失或有助於幫助攻擊者獲取企業內部信息,並可能幫助攻擊者嘗試更多的攻擊路徑的信息。
以下這些信息都屬於產品敏感信息:登錄密碼、後臺登錄及數據庫地址、服務器部署的絕對路徑、內部IP、地址分配規則、網絡拓撲、頁面註釋信息(開發者姓名或工號、程序源代碼)。
而用戶敏感信息有兩個界定原則:
- 用戶隱私保護主要考慮直接通過該數據或者結合該數據與其它的信息,可以識別出自然人的信息。
- 一旦發生數據泄露事件,可以被惡意人員利用並獲取不當利潤。
由此標準參考,以下字段在數據庫的存儲以及傳輸過程中,我們建議加密處理:密碼、手機號、快捷支付手機號、Email、身份證、銀行卡、CVV碼、有效期。
而這些敏感信息泄露的原因大多數情況下是因爲信息未加密或儲存位置不當造成的:
- 代碼中明文使用敏感信息,比如:服務器地址、數據庫信息等
- 數據庫中明文保存敏感信息,比如:賬號、密碼、銀行卡等
- SD卡中保存敏感信息或隱私數據,比如:聊天記錄、通訊錄等
- 日誌中打印敏感信息:比如:賬號、密碼
- 通信過程中明文傳輸敏感信息
以上這些做法都會使APP中的敏感信息暴露在黑客的眼皮底下,只要黑客認爲該信息有價值,他就會輕而易舉的獲取這些敏感信息,最直接的損失可能就是用戶的賬號被盜、網銀被盜刷等。
而黑客如果知道了登錄密碼、後臺登錄及數據庫地址、服務器部署的絕對路徑、內部IP、地址分配規則、網絡拓撲等產品敏感信息,會極大節省攻擊時間,獲取該應用的
絕對控制權,其損失不是能夠用金錢來衡量的。另外,這些敏感信息泄露,也會招來其他試探性的黑客去嘗試攻擊,導致服務器處於危險境地。
比如以下這幾個案例,都將用戶名、密碼等敏感信息完全明文存儲,這對一款金融或涉及線上交易的應用無疑是巨大的問題:
1.某金融App日誌中明文打印用戶名、密碼,如果用戶手機被安裝了惡意軟件,惡意軟件可以獲取到這些信息,導致賬號被盜、被轉賬等。
2.某金融App Preferences中明文存儲用戶名、密碼、Token(令牌)。 Preferences通常用於把一些配置、狀態信息保存在手機上。 如果手機有root權限,安裝了惡意軟件,這些信息可被輕鬆獲取。