正確的引導對人的成長是非常重要的事情!正確的引導帶領孩子走上正途,錯誤的引導會讓孩子誤入歧途。所以說我們都應該對自己家的孩子多關愛一點,關心下他們的生活!
2019 年 10 月,00 後田某因非法獲取計算機信息系統數據罪判處有期徒刑三年,並處罰金人民幣一萬元。當事人田某隻有初中文化,但卻擁有極強的計算機天賦,在 2019 年 1 月 5 日到 1 月 15 日期間,通過軟件抓包、PS 身份證、重放攻擊等手段,在某銀行手機銀行 App 內使用虛假身份信息註冊銀行Ⅱ、Ⅲ類賬戶非法銷售獲利。
很多人會好奇銀行 App 是如何被一步步通過抓包、入侵、重放攻擊,從而讓黑客有利可圖。讓我們具體分析下作案過程:
某00後初中學歷黑客入侵攻擊銀行 App,判處有期徒刑三年
我們應當如何重新審視客戶端的數據安全問題?通過解析支付寶目前在“端上安全”的設計機制,也許能夠帶給我們一些新的啟發。
App 開發期的安全機制設計
支付寶通過打造多層次的端上安全機制從而防止 App 被黑客或木馬攻擊,具體主要分為“本地域”、“線上運行”以及“App 端”三個層面。在本地域方面,通過代碼混淆、加密等手段實現二進制防護;線上運行時,通過“安全黑匣子”打造的數據安全環境以及加密等手段實現數據防洩露;在 App 端,藉助數據安全存儲、安全簽名等手段充分確保業務功能的穩定運行。
某00後初中學歷黑客入侵攻擊銀行 App,判處有期徒刑三年
客戶端 App 數據安全傳輸、安全存儲
針對客戶端的數據傳輸與驗籤,要做到精細化的安全一直是老大難的挑戰。藉助“安全黑匣子”,目前支付寶已實現針對應用級別數據如 AppSecret 採用加密存儲,通過數據加簽接口實現各類上層業務的封裝。
藉助安全黑匣子,客戶端通過應用公鑰和秘鑰加密針對生成的數據進行離散存儲,保證加密秘鑰的安全性。而安全黑匣子本身的代碼混淆、多重反調試機制,使其安全性能極大提升保障。
除此之外,安全黑匣子基於反調試技術使得常見的調試工具如 GDB、IDA Pro 的動態調試分析技術失效,基於導出表混淆、垃圾指令等手段充分提升攻擊者靜態分析應用的難度。如此動靜結合,客戶端數據傳輸及存儲安全能夠充分保障。
用戶信息驗證
隨著終端設備算力的持續增強,目前移動端設備藉助強大的 CPU 和 GPU 完全可以進行非常複雜的運算。而由此催生出的一系列移動端 AI 引擎,如支付寶的 xNN,幫助我們能夠進一步加強用戶信息驗證的智能化。
結合端上金融業務屬性,如銀行卡及身份證 OCR 識別、人臉識別、活體檢測等智能服務,已經過近 2 億用戶驗證,具備識別準確率高、速度快、模塊豐富等特點,同時在支付寶小程序中也已開放。
App 全生命週期防護
關於客戶端 App 安全,實際上是一套從 App 開發、上線及使用的一站式解決方案。在 App 開發階段,提供代碼混淆、數據加密、數據庫加密等安全開發以及數據安全能力;在上線階段,提供 App 加固的能力,通過 DEX 加殼、SO 加殼、防反編譯、防重打包等能力,提升 App 的整體安全水位;在使用階段,通過 API 簽名、API 數據加密等手段來保障數據的完整性及安全性,同時藉助安全加密鍵盤從而保護用戶輸入的信息安全性。
某00後初中學歷黑客入侵攻擊銀行 App,判處有期徒刑三年
作為源自支付寶的移動開發平臺,mPaaS 目前已完成支付寶金融級的端上安全能力沉澱,不僅能夠提升 App 應對高峰帶寬下的服務質量挑戰,同時在弱網情況下的可用性、針對網絡請求的危險識別能力均屬於行業前列。目前,藉助 mPaaS 客戶端的加固技術與黑匣子,能夠保障移動端的代碼安全和網絡層的數據安全,提供加簽、加密等方式,同時網關能夠識別出客戶端環境,並有能力針對可疑請求做攔截。
某00後初中學歷黑客入侵攻擊銀行 App,判處有期徒刑三年
結合中國人民銀行於 2019 年 9 月出臺的《移動金融客戶端應用軟件安全管理規範》,針對客戶端應用在數據安全、身份認證安全、功能安全設計、密碼秘鑰管理、數據安全、安全輸入、抗攻擊能力等方面均提出明確要求,全面覆蓋客戶端應用在設計、開發、發佈及運維的全生命週期。
mPaaS 產品目前已通過中國金融認證中心的安全測評,並服務銀行、證券、政務、交通等眾多行業超過 2000 家客戶。同時,針對客戶端安全方面 mPaaS 提供全方位安全防護方案,真正幫助企業打造安全穩定的移動應用,更好地做到技術驅動業務創新、為業務帶來美好體驗。
最後,小編想說:我是一名python開發工程師,
整理了一套最新的python系統學習教程,
想要這些資料的可以關注私信小編“01”即可(免費分享哦)希望能對你有所幫助
閱讀更多 Python程序員不動否 的文章
