蓝盾 杨育斌：App的安全风险链

App的安全风险链应用开发 内存敏感信息不当保存 使用不安全SDK 登陆信息字典攻击 与后端通信不加密 权限设置不当 敏感数据不当存储 敏感数据不加密 不安全键盘输入 渠道分发 动态调试 代码注入 反编译 二次打包 加入病毒、木马 界面劫持 验证短信劫持 截屏 证书劫持 应用终端 获取身份信息 获取账户信息 获取权限 获取数据内容 恶意推送广告 恶意吸费 转账诈骗 进入后台I服务器 OWASP移动应用十大风险（2014) 二次打包和反编译 不安全的数据存储 传输层保护不足 意外的数据泄露 授权认证较弱 破解密码算法 客户端注入 通过不可信输入的安全决策 Session会话处理不当 缺乏二进制文件保护 App的安全保护链SDLC代码安全组织代码审计：源代码安全检测 词法和语法分析（如编译） 控制流和数据流分析(操作指令、数据传递） 过程访问分析 符合执行 代码审计：代码安全扫描常规扫描 缺陷检测：包含C + +/#/JAVA/PHP所支持的语言缺陷类型检测 安全漏洞检测：包含C++/#/JAVA/PHP所支持的安全漏洞检测 软件架构分析 软件代码规范 Fortify Audit Work