如何讓暴風(fēng)雨過后的北京再添色彩？6月27日，51CTO MDSA第四期線下公開課在北京黃苑大酒店三層會(huì)議廳火爆開場(chǎng)，近百位移動(dòng)互聯(lián)網(wǎng)企業(yè)的APP開發(fā)者、測(cè)試工程師和安全技術(shù)愛好者參與了本次線下公開課。

[[138127]] 

在移動(dòng)互聯(lián)網(wǎng)時(shí)代，APP已經(jīng)滲透到人們的日常生活，更是占據(jù)生活絕大部分的碎片化時(shí)間。而在近期，多個(gè)網(wǎng)站、APP客戶端頻頻出現(xiàn)故障以及信息泄露問題，APP安全如同一把利劍，隨時(shí)都有可能指向企業(yè)正常運(yùn)轉(zhuǎn)的命門。

與其在驚變后的茫然失措，不如在日常中加強(qiáng)安全意識(shí)和提升防御能力。也正如此，51CTO特別邀請(qǐng)了來自北京娜迦信息科技發(fā)展有限公司的CTO閻文斌（ID：玩命）；烏云白帽子、高級(jí)安全研究員瘦蛟舞和百度云安全部資深安全專家郝軼，從APP安全方面的底層、硬件到方法，全面圍繞著整個(gè)生命周期和案例全面分析，為大家?guī)硪粓?chǎng)移動(dòng)APP開發(fā)安全防護(hù)的饕餮盛宴。

公開課下午兩點(diǎn)正式開始，首先是娜迦CTO閻文斌老師（ID：玩命），為大家?guī)怼禔ndroid軟件保護(hù)技術(shù)》的主題分享。一開場(chǎng)就對(duì)APP安全問題給出了自己的觀點(diǎn)，閻老師認(rèn)為，目前軟件保護(hù)的成本很高，碎片化的Android系統(tǒng)以及國(guó)內(nèi)各種山寨的Adnroid系統(tǒng)導(dǎo)致使安全市場(chǎng)比較混亂。

[[138128]] 

緊接著閻老師分享了Android原生APP的保護(hù)方式—DIS的實(shí)現(xiàn)原理。

而ELF文件中的符號(hào)表，字符串表、哈希表、重定位表，是整個(gè)ELF文件中最核心的四個(gè)部分，表閻老師人為重定位表相對(duì)于其他來說更加重要。

同時(shí)，閻老師還分享了連接器的基本流程、TDK的原理、TDK加載器類、TDK殼入口的函數(shù)、此外TDK中一些給開發(fā)者使用的的變量也做了詳細(xì)的分析。

最后更是對(duì)AOP安全代理技術(shù)和針對(duì)SO進(jìn)行深層次開發(fā)的解讀。

較為豐富的內(nèi)容及精彩的剖析使之后的QA環(huán)節(jié)異常踴躍，開發(fā)者的熱情高漲，劍鋒對(duì)麥芒，提問不斷，現(xiàn)場(chǎng)交鋒異常激烈。

[[138129]] 

[[138130]] 

接下來是來自烏云白帽子的瘦瘦老師為大家?guī)怼禗roid APP Security Coding》的主題演講。

[[138131]] 

瘦瘦老師一開始就表示Android系統(tǒng)對(duì)各種APP的訪問設(shè)置了許多權(quán)限，但這些看起來很安全的權(quán)限實(shí)際上并非如此。

谷歌認(rèn)為SD卡是公共區(qū)域，訪問并不需要權(quán)限。但用戶的使用習(xí)慣會(huì)經(jīng)常將照片存放在SD卡中，因此，艷照門這類的事故發(fā)生在Android手機(jī)當(dāng)中比蘋果手機(jī)的概率會(huì)比較大。

瘦瘦老師還提示 在場(chǎng)的小伙伴在使用Github的時(shí)候不要把企業(yè)的私鑰也傳到網(wǎng)上，因?yàn)樵S多黑客會(huì)選擇在網(wǎng)上收集一些信息對(duì)企業(yè)進(jìn)行攻擊。

接下來是瘦瘦老師對(duì)一些常見重要的漏洞進(jìn)行分析。其中WEBVIEW漏洞是最常見危害也是最大的。還包括了一些國(guó)產(chǎn)手機(jī)廠商的一些漏洞，比如酷派的應(yīng)用鎖漏洞、樂phone的任意軟件包安裝刪除漏洞等 ，而許多國(guó)產(chǎn)手機(jī)都存在這樣的危險(xiǎn)的漏洞，黑客在入侵時(shí)可以做到靜默安裝、刪除、靜默發(fā)短信等行為。

瘦瘦老師還分享了如何安全Coding的一些技巧和經(jīng)驗(yàn)。他建議使用長(zhǎng)期更新的第三方庫(kù)/SDK/工具，在應(yīng)初期的安全設(shè)計(jì)要注意—傳輸協(xié)議，數(shù)據(jù)加密、 簽名校驗(yàn)。在開發(fā)規(guī)范方面要注意測(cè)試代碼刪除，最小權(quán)限原則、Dont copy without think、Owasp_Mobile_Security，以及如何規(guī)避系統(tǒng)漏洞。

最后是百度云安全部資深安全專家郝軼老師為大家?guī)怼兑苿?dòng)互聯(lián)網(wǎng)時(shí)代下的安全開發(fā)生命周期》的分享。

[[138132]] 

郝老師一出場(chǎng)就自稱安全界郭德綱，以幽默的演講風(fēng)格把安全這么嚴(yán)肅的話題逗笑全場(chǎng)，博得了滿堂彩。郝老師一進(jìn)入話題就拋出了一個(gè)根本性的問題—信息安全工程師需要解決什么？這一問題引起了小編身后幾位小伙伴的討論，然而郝老師的觀點(diǎn)是：”考慮時(shí)間和成本，使系統(tǒng)達(dá)到安全質(zhì)量要求。”

之后郝老師用大篇幅講述了安全開發(fā)生命周期（SDL）的16個(gè)環(huán)節(jié)，包括其中重點(diǎn)的幾個(gè)方面：

安全基線：確定安全和隱私質(zhì)量 的最低可接受的級(jí)別；

風(fēng)險(xiǎn)評(píng)估：包括微 建模、隱私影響、模糊測(cè)試、基線提升、滲透模式、評(píng)審設(shè)計(jì)；

STRIDE：欺騙標(biāo)識(shí)、權(quán)限提升、拒絕服務(wù)、信息泄露、決絕履約、串改數(shù)據(jù)。

做安全事件的第一原則：不保證安全事件不發(fā)生，需要做好事件應(yīng)急響應(yīng)的預(yù)案工作。

最后，郝軼老師總結(jié)出移動(dòng)互聯(lián)網(wǎng)時(shí)代下的安全周期的安全開發(fā)生命周期。

在郝老師分享過后，整場(chǎng)公開課進(jìn)入了最后幸運(yùn)抽獎(jiǎng)的環(huán)節(jié)，通過四輪的抽取調(diào)查問卷，來到現(xiàn)場(chǎng)的同學(xué)之中有10個(gè)羅技無線鼠標(biāo)，5個(gè)藍(lán)牙音箱和3個(gè)3G無線路由器，在這個(gè)過程當(dāng)中，郝老師還沒有停止安全內(nèi)容演講，分別對(duì)抽取的調(diào)查問卷所填寫的信息內(nèi)容做了漏洞分析，幽默的的表達(dá)使得全場(chǎng)爆笑。按照慣例，51CTO還送出本次線下公開課的最終大獎(jiǎng)，分別是2套雷蛇鍵鼠套裝和價(jià)值1600的WOT2015移動(dòng)互聯(lián)網(wǎng)開發(fā)者大會(huì)電子門票3張。

[[138134]] 

[[138135]] 

[[138136]] 

[[138137]] 

MDSA線下公開課每月一期，力求為廣大開發(fā)者解決移動(dòng)開發(fā)各個(gè)環(huán)節(jié)中遇到的問題。也希望更多開發(fā)者關(guān)注51CTO，關(guān)注MDSA。 我們也將一如既往為廣大開發(fā)者邀請(qǐng)業(yè)內(nèi)最權(quán)威的講師，分享最有價(jià)值的干貨，希望更多的開發(fā)者不斷加入MDSA的大家庭，下期見。