中文名: 移動應用安全
原名: Mobile Application Security
作者: Himanshu Dwivedi
Chris Clark
David Thiel
譯者: 李祥軍
羅熊
圖書分類: 網絡
資源格式: PDF
版本: 掃描版
出版社: 電子工業出版社
書號: 9787121154409
發行時間: 2012年2月6日
地區: 大陸
語言: 簡體中文
簡介:

評論處1樓有網盤鏈接
內容介紹：
　　移動應用不僅僅是下一波技術浪潮，在不遠的將來對於很多關鍵活動而言，它將成為默認的計算方式，如e-mail、在線購物、游戲甚至娛樂等。本書介紹了手機、pda等移動設備面臨的主要安全挑戰以及一些移動應用安全開發中的技巧。以android、iphone、windows mobile、blackberry以及symbian等操作系統為例，詳細闡述了這些系統的安全功能以及如何利用這些功能來開發安全的移動應用，如防護緩沖區溢出、sql注入攻擊以及部署私鑰與公鑰密碼技術等。
　　 針對當前的熱點應用，本書還介紹了wap、藍牙、sms、mms、移動地理定位等移動應用面臨的安全威脅、自身存在的安全不足以及由此帶來的安全風險，並介紹了針對移動平台的企業安全問題，以及不同系統的安全措施和安全防護手段。
內容截圖：



目錄:


第1部分 移動平台
第1章 移動應用主要問題及開發策略 2
1.1 移動終端面臨的主要問題 2
1.1.1 物理安全 2
1.1.2 數據存儲安全(磁盤) 3
1.1.3 應用有限的鍵盤實現強認證 3
1.1.4 支持多用戶的安全 4
1.1.5 安全浏覽環境 4
1.1.6 加固操作系統 4
1.1.7 應用隔離 5
1.1.8 信息洩露 5
1.1.9 病毒、蠕蟲、後門、間諜軟件和惡意軟件 5
1.1.10 艱難的補丁更新/升級過程 6
1.1.11 嚴格使用和實施ssl 6
1.1.12 釣魚攻擊 7
1.1.13 跨站請求偽造(cross-site request forgery，csrf) 7
1.1.14 位置隱私/安全 7
1.1.15 不安全的設備驅動 8
1.1.16 多因素認證 8
.1.2 移動應用安全開發中的技巧 9
1.2.1 應用tls/ssl 9
1.2.2 遵循安全編程實踐 10
1.2.3 對輸入進行驗證 10
1.2.4 應用os提供的控制模型 10
1.2.5 應用系統訪問的最小權限模型 11
1.2.6 恰當地存儲敏感信息 11
1.2.7 對應用代碼進行簽名 11
1.2.8 設計安全和健壯的升級過程 12
1.2.9 理解移動浏覽器的安全功能和局限性 12
1.2.10 清除非威脅因素 12
1.2.11 應用安全/直觀的移動url 13
1.3 小結 13
第2章 android平台安全 15
2.1 android開發和調試 16
2.2 android安全的ipc機制 19
2.2.1 活動(activity) 19
2.2.2 廣播(broadcast) 19
2.2.3 服務(service) 19
2.2.4 內容提供器(contentprovider) 20
2.2.5 binder 20
2.3 android安全模型 20
2.4 android控制模型小結 21
2.5 創建新的manifest權限控制文件 25
2.6 intent 25
2.6.1 intent概述 26
2.6.2 intentfilter 26
2.7 activity 27
2.8 broadcast 29
2.8.1 接收廣播intent 30
2.8.2 安全地發送廣播intent 30
2.8.3 sticky broadcast 31
2.9 service 31
2.10 contentprovider 32
2.11 避免sql注入 34
2.12 intent reflection 35
2.13 文件和優先選項 35
2.14 大容量存儲 36
2.15 binder接口 37
2.15.1 調用者權限或者身份檢查實現安全 38
2.15.2 binder引用安全 38
2.16 android 安全工具 39
2.16.1 manifest浏覽器 39
2.16.2 package play 40
2.16.3 intent sniffer 40
2.16.4 intent fuzzer 42
2.17 小結 42
第3章 iphone平台安全 44
3.1 歷史 44
3.1.1 iphone和os x 45
3.1.2 “越獄”與“反越獄” 45
3.1.3 iphone sdk 46
3.1.4 未來發展 46
3.2 開發 46
3.2.1 反編譯和反匯編 47
3.2.2 避免逆向工程 50
3.3 安全測試 50
3.3.1 緩沖區溢出 50
3.3.2 整數溢出 51
3.3.3 格式化字符串攻擊 51
3.3.4 雙重釋放(double-free) 53
3.3.5 靜態分析 54
3.4 應用程序格式 55
3.4.1 編譯和打包 55
3.4.2 分發：apple store 55
3.4.3 代碼簽名 56
3.4.4 執行未經簽名的代碼 56
3.5 權限及用戶控制 57
3.5.1 沙箱 57
3.5.2 exploit mitigation 58
3.5.3 權限 58
3.6 本地數據存儲：文件、權限和加密 59
3.6.1 sqlite 存儲 59
3.6.2 iphone keychain存儲 60
3.6.3 共享keychain存儲 61
3.6.4 向證書存儲中添加證書 61
3.6.5 獲取entropy 62
3.7 網絡 63
3.7.1 url裝載api 63
3.7.2 nsstream 64
3.7.3 p2p 64
3.8 push 通知，復制/粘貼以及其他ipc 65
3.8.1 push通知 66
3.8.2 uipasteboard 66
3.9 小結 67
第4章 windows mobile的安全性 68
4.1 平台介紹 68
4.1.1 與windows ce的關系 69
4.1.2 設備結構 69
4.1.3 設備存儲 71
4.2 內核構架 71
4.2.1 內存管理 72
4.2.2 windows ce進程 73
4.2.3 服務 74
4.2.4 對象 74
4.2.5 內核模式和用戶模式 76
4.3 開發及安全測試 77
4.3.1 編碼環境和sdk 77
4.3.2 模擬器 78
4.3.3 調試 81
4.3.4 反匯編 83
4.3.5 代碼安全 86
4.3.6 應用程序打包和分發 89
4.4 權限與用戶控制 91
4.4.1 特權模式和普通模式 91
4.4.2 驗證碼、簽名和證書 92
4.4.3 運行中的應用程序 94
4.4.4 鎖定設備 95
4.4.5 管理設備安全策略 96
4.5 本地數據存儲 97
4.5.1 文件和權限 97
4.5.2 設備失竊保護 98
4.5.3 結構化存儲 99
4.5.4 加密和設備安全存儲 99
4.6 組網 100
4.6.1 連接管理器 100
4.6.2 winsock 101
4.6.3 紅外線 101
4.6.4 藍牙 101
4.6.5 http和ssl 101
4.7 小結 102
第5章 黑莓手機的安全性 103
5.1 平台簡介 103
5.1.1 黑莓企業服務器(bes) 104
5.1.2 黑莓的互聯網服務(bis) 105
5.2 設備和操作系統結構 105
5.3 開發及安全測試 106
5.3.1 編碼環境 106
5.3.2 模擬器 107
5.3.3 調試 108
5.3.4 反匯編 109
5.3.5 代碼安全 111
5.3.6 應用程序打包和分發 112
5.4 權限與用戶控制 113
5.4.1 rim的可控api 114
5.4.2 運營商和midlet簽名 118
5.4.3 對midp應用程序中的權限錯誤的處理 119
5.4.4 鎖定設備 119
5.4.5 應用程序權限管理 120
5.5 本地數據存儲 120
5.5.1 文件和權限 120
5.5.2 可編程文件系統訪問 121
5.5.3 結構化存儲 122
5.5.4 加密和設備安全存儲 122
5.6 組網 124
5.6.1 設備防火牆 124
5.6.2 ssl和wtls 125
5.7 小結 125
第6章 java移動版的安全性 126
6.1 標准開發 126
6.2 配置、profile和jsr 127
6.2.1 配置 128
6.2.2 profile 128
6.2.3 可選包 130
6.3 開發和安全測試 130
6.3.1 配置開發環境並安裝新平台 131
6.3.2 模擬器 133
6.3.3 逆向工程和調試 134
6.3.4 代碼安全 139
6.3.5 應用程序打包和分發 141
6.4 權限和用戶控件 145
6.4.1 數據訪問 148
6.5 小結 149
第7章 塞班系統(symbianos)安全性 150
7.1 平台介紹 150
7.1.1 設備架構 151
7.1.2 設備存儲器 152
7.2 開發和安全測試 153
7.2.1 開發環境 153
7.2.2 軟件開發工具 155
7.2.3 模擬器 155
7.2.4 調試 156
7.2.5 ida pro 157
7.3 代碼安全 158
7.3.1 symbian c++ 158
7.3.2 p.i.p.s和openc 164
7.4 應用程序包 165
7.4.1 可執行的鏡像格式 165
7.4.2 安裝包 167
7.4.3 簽名 168
7.4.4 塞班簽名 169
7.4.5 安裝 170
7.5 權限和用戶控制 171
7.5.1 功能概述 171
7.5.2 可執行映像功能 173
7.5.3 進程功能 173
7.5.4 進程間的功能 173
7.6 進程間通信 174
7.6.1 客戶端/服務器會話 174
7.6.2 共享會話 179
7.6.3 共享句柄 179
7.7 永久的數據存儲 180
7.7.1 文件存儲 180
7.7.2 結構化存儲 181
7.7.3 加密存儲 182
7.8 小結 184
第8章 webos安全 186
8.1 平台簡介 186
8.1.1 webos系統結構 187
8.1.2 模型視圖控制器(mvc) 189
8.1.3 stage與scene，assistant與view 190
8.2 開發和安全測試 191
8.2.1 開發模式 191
8.2.2 訪問linux 192
8.2.3 模擬器 192
8.2.4 調試和反匯編 193
8.3 代碼安全 195
8.3.1 腳本注入 196
8.3.2 直接執行 196
8.3.3 編程數據注入 198
8.3.4 模板注入 200
8.3.5 本地數據注入 201
8.3.6 應用程序打包 204
8.4 權限和用戶控制 204
8.4.1 存儲 205
8.4.2 網絡 207
8.5 小結 207
第2部分 移動服務
第9章 wap和移動html安全 210
9.1 wap和移動html基礎 211
9.2 wap/移動html網站上的認證 212
9.3 加密 214
9.3.1 wap 1.0 215
9.3.2 ssl和wap 2.0 216
9.4 移動html網站上的應用層攻擊 216
9.4.1 跨站腳本攻擊 217
9.4.2 sql注入 220
9.4.3 csrf攻擊 222
9.4.4 http重定向 225
9.4.5 釣魚攻擊 226
9.4.6 會話偽造 227
9.4.7 非ssl登錄 228
9.5 wap和移動浏覽器的不足 228
9.5.1 缺乏httponly標簽的支持 228
9.5.2 缺乏secure標簽的支持 228
9.5.3 浏覽器緩存處理 229
9.5.4 wap不足 229
9.6 小結 229
第10章 藍牙安全 231
10.1 藍牙技術概覽 231
10.1.1 歷史及標准 231
10.1.2 常見用途 232
10.1.3 其他類似方式 232
10.1.4 未來發展 234
10.2 藍牙技術架構 234
10.2.1 radio operation和頻率 234
10.2.2 藍牙網絡拓撲 235
10.2.3 設備識別 235
10.2.4 運行模式 236
10.2.5 藍牙分層模型 236
10.2.6 藍牙profile 237
10.3 藍牙安全功能 238
10.3.1 配對 239
10.3.2 藍牙傳統安全服務 240
10.3.3 非功能性安全 243
10.4 藍牙設備和網絡的威脅 244
10.5 藍牙漏洞 245
10.5.1 藍牙v1.2之前的版本 245
10.5.2 藍牙v2.1之前的版本 245
10.5.3 所有版本 245
10.6 建議 246
第11章 短信安全 247
11.1 短消息服務概覽 248
11.2 多媒體消息概覽 251
11.3 協議攻擊 253
11.3.1 濫用合法功能 255
11.3.2 協議攻擊的實現 264
11.4 應用攻擊 266
11.4.1 iphone safari 267
11.4.2 windows mobile mms 268
11.4.3 motorola razr jpg溢出 268
11.5 安全演練 269
11.5.1 發送pdu 269
11.5.2 xml轉換為wbxml 271
11.6 結論 271
第12章 移動地理定位 272
12.1 地理定位方法 272
12.1.1 基站三角定位 272
12.1.2 gps定位 273
12.1.3 802.11 274
12.2 地理定位實現 274
12.2.1 android 274
12.2.2 iphone 276
12.2.3 windows mobile 276
12.2.4 symbian 277
12.2.5 blackberry 277
12.3 地理定位服務的風險 278
12.3.1 最終用戶的風險 278
12.3.2 服務提供商的風險 279
12.4 地理定位最佳實踐 280
第13章 企業安全 282
13.1 設備安全選項 283
13.1.1 pin碼 283
13.1.2 遠程刪除 284
13.2 本地存儲安全 285
13.2.1 apple iphone以及keychain機制 285
13.3 安全策略實施 286
13.4 加密 287
13.4.1 全盤加密 288
13.4.2 郵件加密 288
13.4.3 文件加密 289
13.5 應用沙箱、簽名及許可 289
13.5.1 應用程序沙箱 290
13.5.2 應用程序簽名 291
13.5.3 權限控制 293
13.6 緩沖區溢出保護 294
13.6.1 windows mobile 294
13.6.2 iphone 295
13.6.3 android 295
13.6.4 blackberry 296
13.7 安全功能匯總 296
13.8 結論 297
第3部分 附錄
附錄a 移動惡意軟件 300
a.1 歷史重要惡意軟件介紹 301
a.1.1 cabir 301
a.1.2 commwarrior 301
a.1.3 beselo.b 301
a.1.4 trojan.redbrowser.a 302
a.1.5 wince/brador.a 302
a.1.6 wince/infojack 302
a.1.7 sms.python.flocker 302
a.1.8 yxes.a 303
a.1.9 其他 303
a.2 威脅場景 303
a.2.1 假冒固件 303
a.2.2 典型木馬 304
a.2.3 蠕蟲 304
a.2.4 勒索軟件 304
a.3 減少移動惡意軟件的破壞 305
a.3.1 終端用戶 305
a.3.2 開發人員以及平台供貨商 305
附錄b 移動安全滲透測試工具 307
b.1 移動平台攻擊工具 307
b.1.1 manifest explorer 307
b.1.2 package play 308
b.1.3 intent sniffer 309
b.1.4 intent fuzzer 309
b.1.5 pysimreader 311
b.2 浏覽器擴展 311
b.2.1 wmlbrowser 311
b.2.2 user agent switcher 311
b.2.3 foxyproxy 312
b.2.4 tamperdata 313
b.2.5 live http headers 313
b.2.6 web developer 314
b.2.7 firebug 314
b.3 網絡工具 315
b.3.1 wireshark 315
b.3.2 tcpdump 316
b.3.3 scapy 317
b.4 web應用工具 317
b.4.1 webscarab 318
b.4.2 gizmo 319
b.5 fuzzing框架 319
b.5.1 peach 320
b.5.2 sulley 320
b.6 通用工具 320
b.6.1 hachoir 320
b.6.2 vbindiff 321