栏目导航
 
 
关注手机App金融信息背后的安全
作者:管理员    发布于:2017-2-16 0:00:00   

虽然今天有很多金融业者向市场推出许多移动App金融服务,但在实际使用中,相关App经检测后却发现有用户信息外泄、资料传输未受保护,及后端安全不足等问题。这类现象的频频出现,使得手机金融App开发机构应强化对外服务的系统安全及补强内部信息环境变得重要起来。

一、被忽略的App后端

不只是金融服务App应注意,凡牵涉交易、敏感信息的App,系统开发与管理者都应特别注意。M1 - Weak Server Side Controls服务器端的安全控制脆弱在行动App开发时,经常有不同的承包商进行前后端的分包,而App厂商鲜少将后端控制运用搭配于前端手机应用程序中,而后端亦忽略了行动平台的特殊性而疏于服务器安全的防护措施,包含后端的服务、API、数据库、网站本身等,App后端需要有对应的Web Service提供服务,同样会存在Session(资料隐码注入攻击问题)、应注意资料传输过程中的保护,如SSL安全性、Session是否有抵抗重送攻击以避免被截录后利用、传输的资料是否敏感,如身分证字号、卡号、密码应避免在网络上传输等。

二、前端App与后端Web Service间的漏洞

其中经常发现前端App有不错的UI界面,但是后端安全机制完全非银行金融的安全水平,原因是App多半是委外制作,而对开发者在此方面安全要求显然不足。 M2 - Insecure Data Storage不安全的资料储存于用户端 即检测App本身处理资料储存与该资料的保护方式。

包含将用户敏感信息、系统敏感信息存放于用户端装置中,而未给予适当的保护,可能造成这些资料被存取、解析来使用,间接造成其他伤害。M3 –Insufficient Transport Layer Protection传输层保护不足 在App与后端的资料传输过程中,未施以合适的传输层保护,如其中有重要的资料传输,则容易被揭露或拦截使用。或者被中间人攻击手法介入交易过程,造成交易资料的外泄、变造、滥用。前端App与后端Web Service传输过程没有使用HTTPS而使资料暴露。部分App直接与后端数据库直接连通,导致数据库传输内容亦暴露于网络。


湘潭市韬博信息技术有限责任公司    湘ICP备17006349号