如何讓暴風(fēng)雨過后的北京再添色彩？6月27日，51CTO MDSA第四期線下公開課在北京黃苑大酒店三層會議廳火爆開場，近百位移動互聯(lián)網(wǎng)企業(yè)的APP開發(fā)者、測試工程師和安全技術(shù)愛好者參與了本次線下公開課。

[[138127]] 

在移動互聯(lián)網(wǎng)時代，APP已經(jīng)滲透到人們的日常生活，更是占據(jù)生活絕大部分的碎片化時間。而在近期，多個網(wǎng)站、APP客戶端頻頻出現(xiàn)故障以及信息泄露問題，APP安全如同一把利劍，隨時都有可能指向企業(yè)正常運轉(zhuǎn)的命門。

與其在驚變后的茫然失措，不如在日常中加強安全意識和提升防御能力。也正如此，51CTO特別邀請了來自北京娜迦信息科技發(fā)展有限公司的CTO閻文斌（ID：玩命）；烏云白帽子、高級安全研究員瘦蛟舞和百度云安全部資深安全專家郝軼，從APP安全方面的底層、硬件到方法，全面圍繞著整個生命周期和案例全面分析，為大家?guī)硪粓鲆苿覣PP開發(fā)安全防護(hù)的饕餮盛宴。

公開課下午兩點正式開始，首先是娜迦CTO閻文斌老師（ID：玩命），為大家?guī)怼禔ndroid軟件保護(hù)技術(shù)》的主題分享。一開場就對APP安全問題給出了自己的觀點，閻老師認(rèn)為，目前軟件保護(hù)的成本很高，碎片化的Android系統(tǒng)以及國內(nèi)各種山寨的Adnroid系統(tǒng)導(dǎo)致使安全市場比較混亂。

[[138128]] 

緊接著閻老師分享了Android原生APP的保護(hù)方式—DIS的實現(xiàn)原理。

而ELF文件中的符號表，字符串表、哈希表、重定位表，是整個ELF文件中最核心的四個部分，表閻老師人為重定位表相對于其他來說更加重要。

同時，閻老師還分享了連接器的基本流程、TDK的原理、TDK加載器類、TDK殼入口的函數(shù)、此外TDK中一些給開發(fā)者使用的的變量也做了詳細(xì)的分析。

最后更是對AOP安全代理技術(shù)和針對SO進(jìn)行深層次開發(fā)的解讀。

較為豐富的內(nèi)容及精彩的剖析使之后的QA環(huán)節(jié)異常踴躍，開發(fā)者的熱情高漲，劍鋒對麥芒，提問不斷，現(xiàn)場交鋒異常激烈。

[[138129]] 

[[138130]] 

接下來是來自烏云白帽子的瘦瘦老師為大家?guī)怼禗roid APP Security Coding》的主題演講。

[[138131]] 

瘦瘦老師一開始就表示Android系統(tǒng)對各種APP的訪問設(shè)置了許多權(quán)限，但這些看起來很安全的權(quán)限實際上并非如此。

谷歌認(rèn)為SD卡是公共區(qū)域，訪問并不需要權(quán)限。但用戶的使用習(xí)慣會經(jīng)常將照片存放在SD卡中，因此，艷照門這類的事故發(fā)生在Android手機當(dāng)中比蘋果手機的概率會比較大。

瘦瘦老師還提示 在場的小伙伴在使用Github的時候不要把企業(yè)的私鑰也傳到網(wǎng)上，因為許多黑客會選擇在網(wǎng)上收集一些信息對企業(yè)進(jìn)行攻擊。

接下來是瘦瘦老師對一些常見重要的漏洞進(jìn)行分析。其中WEBVIEW漏洞是最常見危害也是最大的。還包括了一些國產(chǎn)手機廠商的一些漏洞，比如酷派的應(yīng)用鎖漏洞、樂phone的任意軟件包安裝刪除漏洞等 ，而許多國產(chǎn)手機都存在這樣的危險的漏洞，黑客在入侵時可以做到靜默安裝、刪除、靜默發(fā)短信等行為。

瘦瘦老師還分享了如何安全Coding的一些技巧和經(jīng)驗。他建議使用長期更新的第三方庫/SDK/工具，在應(yīng)初期的安全設(shè)計要注意—傳輸協(xié)議，數(shù)據(jù)加密、 簽名校驗。在開發(fā)規(guī)范方面要注意測試代碼刪除，最小權(quán)限原則、Dont copy without think、Owasp_Mobile_Security，以及如何規(guī)避系統(tǒng)漏洞。

最后是百度云安全部資深安全專家郝軼老師為大家?guī)怼兑苿踊ヂ?lián)網(wǎng)時代下的安全開發(fā)生命周期》的分享。

[[138132]] 

郝老師一出場就自稱安全界郭德綱，以幽默的演講風(fēng)格把安全這么嚴(yán)肅的話題逗笑全場，博得了滿堂彩。郝老師一進(jìn)入話題就拋出了一個根本性的問題—信息安全工程師需要解決什么？這一問題引起了小編身后幾位小伙伴的討論，然而郝老師的觀點是：”考慮時間和成本，使系統(tǒng)達(dá)到安全質(zhì)量要求。”

之后郝老師用大篇幅講述了安全開發(fā)生命周期（SDL）的16個環(huán)節(jié)，包括其中重點的幾個方面：

安全基線：確定安全和隱私質(zhì)量 的最低可接受的級別；

風(fēng)險評估：包括微 建模、隱私影響、模糊測試、基線提升、滲透模式、評審設(shè)計；

STRIDE：欺騙標(biāo)識、權(quán)限提升、拒絕服務(wù)、信息泄露、決絕履約、串改數(shù)據(jù)。

做安全事件的第一原則：不保證安全事件不發(fā)生，需要做好事件應(yīng)急響應(yīng)的預(yù)案工作。

最后，郝軼老師總結(jié)出移動互聯(lián)網(wǎng)時代下的安全周期的安全開發(fā)生命周期。

在郝老師分享過后，整場公開課進(jìn)入了最后幸運抽獎的環(huán)節(jié)，通過四輪的抽取調(diào)查問卷，來到現(xiàn)場的同學(xué)之中有10個羅技無線鼠標(biāo)，5個藍(lán)牙音箱和3個3G無線路由器，在這個過程當(dāng)中，郝老師還沒有停止安全內(nèi)容演講，分別對抽取的調(diào)查問卷所填寫的信息內(nèi)容做了漏洞分析，幽默的的表達(dá)使得全場爆笑。按照慣例，51CTO還送出本次線下公開課的最終大獎，分別是2套雷蛇鍵鼠套裝和價值1600的WOT2015移動互聯(lián)網(wǎng)開發(fā)者大會電子門票3張。

[[138134]] 

[[138135]] 

[[138136]] 

[[138137]] 

MDSA線下公開課每月一期，力求為廣大開發(fā)者解決移動開發(fā)各個環(huán)節(jié)中遇到的問題。也希望更多開發(fā)者關(guān)注51CTO，關(guān)注MDSA。 我們也將一如既往為廣大開發(fā)者邀請業(yè)內(nèi)最權(quán)威的講師，分享最有價值的干貨，希望更多的開發(fā)者不斷加入MDSA的大家庭，下期見。