一种建设APP网络安全纵深防御体系的综合方案研究_刘威.pdf

1、科技与创新Science and Technology&Innovation862023 年 第 04 期文章编号：2095-6835（2023）04-0086-04一种建设 APP 网络安全纵深防御体系的综合方案研究刘 威（中国电信股份有限公司重庆分公司，重庆 401122）摘要：随着移动互联网的飞速发展，移动 APP 的开发呈现出爆发式的增加，使人们能够便捷地畅游互联网，但同时也带来了安全威胁，比如 APP 中间件漏洞、业务逻辑漏洞等可导致服务器被攻击、用户信息被窃取，甚至威胁到用户财产安全。渗透测试是黑客和白帽子（安全工程师）针对 APP、IT 系统进行安全评估、安全攻击的综合方法。安全

2、人员利用渗透测试，可以发现业务系统中的各项安全漏洞，在漏洞被利用前整改修复。但是如果系统被黑客渗透测试挖掘到漏洞并被利用，可造成严重危害。针对APP 的安全解决方案，目前业界主流做法是采用第三方平台进行加固，可以防止 APP 出现被破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安全风险，但是这种加固方法不能解决被渗透测试后导致未被发现的其余高危漏洞利用造成服务器权限被获取、SQL 注入、越权、用户信息泄露、资金损失等高危风险问题。主要研究了如何预防 APP 被非法渗透测试、预防 APP 被抓包破解等问题，从多个维度针对 APP 进行保护，从应用层面自我加固 APP，做到及时阻断未知安全风险，

3、保障 APP 的安全性。关键词：APP；纵深防御；预防渗透测试；网络安全中图分类号：TN915.08文献标志码：ADOI：10.15913/ki.kjycx.2023.04.024当前互联网快速发展，用户可直接在网上下载日常使用的 APP，主要下载渠道包括 APP 运营者官网、第三方 APP 应用分发平台，比如华为应用市场、小米应用市场等。工信部2020 年 111 月互联网和相关服务业运行情况一文公布，截至 2020 年 11 月末，中国国内市场上监测到的 APP 数量为 346 万款。互联网上暴露的 APP 如此之多，相信还有部分公司的内部APP 未被统计，暴露公网的 APP 非常容易被黑

4、客进行渗透测试，如果被非法挖掘到漏洞进而被恶意利用，会对用户信息、资产安全和公司系统安全造成比较大的影响。在各公司内部，安全部门针对网络安全防护和漏洞检测都有着严格的要求和制度。作为安全研究员，除了常规的软件源代码静态审计、APP 加固方式，还需要思考研究其他的红蓝对抗攻防方案。本文以平时安全工作为基点，先从黑客视角分析研究 APP 渗透测试技术，再从反渗透测试，与黑客进行对抗，研究如何预防 APP 被渗透测试，在重庆电信内部进行多角度建设针对 APP 安全的纵深防御体系。1APP 常见渗透测试方法移动 APP 安全评估主要采用自动化扫描、人工渗透测试，其中人工渗透测试主要是用抓包。1.1自动

5、化扫描使用 MobSF、QARK、pinpoint 等工具扫描 APK静态程序，可以主要发现程序反编译、数据明文存储、任意代码执行、跨站脚本攻击等安全风险。自动化扫描根据分析打包后的二进制程序进行解压分析。分析各项配置文件，如果未加固，还可进行反编译源代码，深入自动化审计源代码。1.2手工模糊测试（功能测试）根据 APP 界面业务逻辑进行分析，寻找业务逻辑中的漏洞，比如密码找回功能，实现任意账号用户密码找回重置漏洞、验证码校验绕过漏洞等逻辑设计缺陷的漏洞。1.3手工模糊测试（接口数据包攻击）使用 BurpSuite 软件截取每个接口的数据包，分析具体的每个数据包接口、内容、参数。篡改数据包实现

6、攻击，能够导致包括但不限于 SQL 注入、木马上传、目录遍历、任意命令执行等严重高危漏洞1。2常见网络安全防御针对上面提出的 3 点常见渗透测试，业界已经有基金项目中国电信重庆公司 2021 年创新研发项目资金资助（编号：21CQQYYF0002）Science and Technology&Innovation科技与创新2023 年 第 04 期87常见的针对性防御手段。2.1防止自动化扫描使用 WAF、IDS 等应用层和网络层防火墙工具进行自动防御，根据用户 IP 访问次数和特殊 URL、数据包特殊敏感字段进行综合研判，进行单次阻断攻击行为和封禁 IP 操作。2.2防止手工模糊测试（功能测

7、试）结合自动化测试框架 Selenium、Appium 开发企业自动化测试系统进行固定模板路线测试和非固定路线测试，724 h 不定期点击测试 APP 所有功能点，提取功能列表，抽取每个功能数据包，针对提取数据包进行自动主动替换敏感字段进行模糊攻击，最终自动化测试系统、自动研判输出自动化报告，人工根据报告确认是否存在漏洞。2.3防止手工模糊测试（接口数据包攻击）接口数据包攻击，总体思路是采用人工抓包，以攻击者视角查看 URL 栏、header、cookies、数据包体等位置是否可进行注入、替换、遍历以及逻辑等漏洞。预防该方法常规是使用添加 sign 字段，针对数据包内容进行签名，然后将 sig

8、n 放入 json 字段或者 header 中单独传递到后端，后端根据该 sign 去校验数据包是否被篡改，保证接口数据真实性。另一种业界常用方法是针对接口数据包进行全加密，采用 AES、3DES 或者国密 SM4 等对称加密算法和国密 SM2、RSA 非对称加密算法进行加密，后端根据对应算法解密，以此确保接口数据真实性。3常见网络安全防御的缺点前面介绍的 3 种常见防御确实可以阻止很大一部分黑客攻击行为，可有效降低 APP 被渗透测试后发现漏洞的概率。但是结合 3 种方案针对性防御，成本太高，需要所有软件开发者具备完善的安全常识，熟悉安全左移相关知识。如果某一个功能点由于开发者疏忽未进行加密

9、或者未进行严格校验，均可能被攻击者突破，进而导致其余防御功亏一篑。4新方案探索与实践传统预防方案效果不佳且成本较高，本次笔者将从多维度进行探索更加高效、更加简洁的预防 APP 被渗透测试（攻击）的方案。具体从以下几个维度进行开展试验。4.1（安全左移）源代码静态审计在开发阶段，从 2021-06-01 开始，安全部门要求各研发中心团队结合静态源码审计工具和人工源码审计，将安全左移，按照源码自动化审计工具报告建议，不断迭代优化系统，经历了 4 个月。此办法可封堵开发阶段大部分常规漏洞和业务逻辑漏洞，比如某内部电信业务办理系统，包含 APP 和服务端系统，如图 1所示，从最初的缺陷数总量变化 2

10、393 个到 323 个，缺陷数压降 87%，效果明显。经过仔细分析发现，剩下的大多属于误报，结合实际情况无需进行整改。图 1安全左移，静态源码审计缺陷数变化使用电信集团内部云道安全中心提供的静态源码审计工具，针对源代码项目和打包生成后应用进行静态扫描，结合语义和正则匹配调用，发现脆弱性源码和配置文件。人工 CodeReview，每项目指派 2 名高级开发工程师定期针对新提交的 git 仓库源码进行人工代码审计，弥补静态审计工具不足。4.2加强源码保护针 对APP内 原 生 代 码 采 用OLLVM（Obfuscator-LLVM 是瑞士西北应用科技大学安全实验室于2010年6月份发起的一个针

11、对LLVM的代码混淆工具，增加对逆向工程的难度）进行混淆保护，提高反编译后代码审计难度。现在公司 APP 开发主要有原生 APP 开发技术、混合开发 Hybrid App 技术（结合原生 APP 和 WEB 技术开发的混合技术开发的 APP），重庆电信内部 IT 系统也有多款应用采用了混合技术进行开发。针对 HybridApp 技术，笔者们创新性地对 JavaScript 代码部分也进行混淆加密保护。采用 JS 加密技术可最大化地保护前端逻辑和秘钥，加大前端审计难度，提高前端代码安全性。如采用商业收费技术瑞数 JS 加密，或者免费的 jsjiami 网提供技术。为了控制成本，在研发中心内部，笔

12、者们采用免费的 jsjiami 网的 JS 加密功能。JS 加密前：(function(w,d)alert(我是加密前的弹窗);)(window,document);JS 加密后：备注：因加密混淆后数据填充导致代码变成，此处为节选部分加密后的代码。JS 加密后效果（源码）如图 2 所示。var_0 xodW=.v6,_0 x50cf=_0 xodW,MS3Dszk=科技与创新Science and Technology&Innovation882023 年 第 04 期,I8O0wpM7wpY=,HMOQa8KOVA=,w4Zzw7XCiQ=,fcKSKsOpUA=,w4DDnhwAwq0=,

13、wqsTw5XDgnc=,w7HDiA0HwrI=,w7jCr0PDng=,w5XDhg3CpGo=,XMOcw5xS,TmNRPz8=,fE8fwp1I,w6zCt8K1eUo=,w6hPREE=,w5fDgQIFwppMw7Y=,w6MYwqk8Ug=,wpgHYhFVZEVWwqo=,fcKrBcKawqzCvsKP,UsKxaBpC,QcKxBMOow4c=,e0DCg8OaFA=,PMKRw5pzw67DmnkWZA=,w7/CmsKNY34=,UmPDl21s,GmtZwqgiAA=,w4MTw6PDlkZjw5Y=,KsKQw5Blw6fDn3I=,fMKgDcO/w6Y=,Y8

14、KGHsOOw5E=,BcKRwonCmg=,asK2CsKKwqY=,w7ZAUEA=,I0BcAsOq,LMKNw4x5w7o=,PTvDuSgwBcKsc8K1,w555w6E=,w6chwq05aA=,wpwPcRhc,QsKgBsOw,VmjDmktLVg4=,OWt4w4srwqsMV8OG,wrJQa8KW,QEbCo8OnMA=,wo4hVMKqwoo=,cRI2w40w,HxnDtR0H,wrU6VyxP,US86w6gJw4RiLcKgwoTDoW/DrMK1QhQgw5xswoQ8worCuA=图 2JS 加密后效果（源码）加密 JS 运行结果如图 3 所示。图 3JS

15、加密后运行结果可观察到 JS 代码加密前和加密后差距较大，完全隐藏了真实的业务逻辑，并可正常运行。完整 APP 再次进行加固，保证 APP 整体安全。国内主流第三方厂家如梆梆安全、爱加密、360 加固等都提供 APP 加固产品。APP 加固可防止泄露敏感配置信息和其他业务逻辑代码信息，是一道源码保护的最终防线。APP 加固增大反编译 APP 难度，将大部分攻击者拒之门外。重庆电信 APP 同时采用了爱加密和梆梆加密，不同业务采用不同的加密规则。如图 4 所示 APP 经过加固后隐藏了真实源代码，反编译后无法查看。随着加固引擎的升级，脱壳难度越来越大2。图 4APP 加固后反编译结果4.3（动态

16、运行检测）时刻检测 APP 运行环境安全性我们在 APP 运行时，activity 动态切换时刻，持续检测 APP 是否运行在虚拟机中，比如检测夜神模拟器、网易 MuMu 模拟器等常见国内外模拟器环境。我们在开发侧加入了如下前置检测代码，一旦检测到存在虚拟机内运行特征自动闪退并推送设备环境等信息到APP 服务端，联动风控产生告警，人工跟踪复核是否恶意攻击。检测 APP 运行环境中是否存在 ROOT 权限，存在ROOT 权限的环境往往不安全，现在各大厂商禁止解锁 BootLoaderh 和 ROOT 设备，就是为了提高设备安全性。因此当检测到 ROOT 环境后，自动闪退并推送设备环境等信息到 A

17、PP 服务端，联动风控产生告警，人工跟踪复核是否恶意攻击。检测 APP 是否存在关键 HOOK 函数，加入了XPOSED、Frida HOOK 检测，若被 HOOK 应自动闪退并推送设备环境等信息到 APP 服务端，联动风控产生告警，人工跟踪复核是否恶意攻击。检测 APP 是否存在流量代理和 VPN 代理，存在VPN 代理和流量代理（前端开发加入了流量端口转发、VPN 环境检测），说明该 APP 大概率正被抓包中或者中间人攻击监听，风险较大。因此需要自动闪退并推送设备环境等信息到 APP 服务端，联动风控产生告警，人工跟踪复核是否恶意攻击。4.4（动态运行防护）接入 WAF系统，保障服务安全W

18、AF（WEB 应用防火墙）可保证 WEB 服务安全，比如被恶意探测、SQL 注入、命令执行和目录扫描等。WAF 规则时刻更新，预防 CVE 以及 0 Day 漏洞来袭，第一时间降低产品风险。WAF 可采用开源自建和第三方购买 WAF（软件 WAF、硬件 WAF、云 WAF）。开源自建 WAF，比如 ModSecurity、FreeWAF、VeryNginx、Naxsi 等开源产品，再基于此进行访问规制更新，当互联网上出现新漏洞时候，根据对应特征进行配置拦截。Science and Technology&Innovation科技与创新2023 年 第 04 期89安全厂家的商业 WAF。目前主流

19、厂家 WAF 比如阿里云 WAF、绿盟 WAF、中国电信安全帮 WAF、启明星辰均可提供较为成熟的保护。现在 WAF 采用方案是结合传统攻击特征进行正则匹配+机器学习算法共同研判攻击行为。商业 WAF 产品与威胁情报、DDoS防御、Bot 防护、CDN 等常用产品或功能组件的紧密协同能够帮助企业打造针对 Web 应用的更为主动的防护体系3。大多数 WAF 都是基于规则的 WAF。其原理是每一个会话都要经过一系列的测试，每一项测试都由一个过多个检测规则组成，如果测试没通过，请求就会被认为非法并拒绝。带机器学习功能的新 WAF 可以学习未知风险。通过一段时间的用户访问，WAF 记录了常用网页的访问

20、模式，如一个网页中有几个输入点，输入的是什么类型的内容，通常情况的长度是多少学习完毕后，定义出一个网页的正常使用模式，当今后有用户突破了这个模式，如一般的账号输入不应该有特殊字符，而 XML 注入时需要有“”之类的语言标记，WAF 就会根据你预先定义的方式预警或阻断；再如密码长度一般不超过 20 位，在 SQL 注入时加入代码会很长，同样突破了网页访问的模式，因而被 WAF 判断为恶意攻击进行拦截。防护主旨是“不符合我的常规就是异常的”，也是入侵检测技术的一种，比起单纯的 Web 防火墙来，不仅给入侵者“下通缉令”，而且建立进入自家的内部“规矩”，这一种双向的控制，显然比单向的要好4。内部同时

21、采用了云 WAF 和自建 WAF，云 WAF 由SOC 部门统一采购，为了避免误伤，规则较大，因此在近源端自建 WAF，基于开源 WAF 自编规则，结合业务写规则。下面是测试环境验证 WAF 效果，对探测性行为也进行了拦截。访问 http:/10.236.17.1/index?id=1，正常返回。如图 5 所示。图 5正常访问访问 http:/10.236.17.1/index?id=1 or 1=1，被 WAF拦截，阻止攻击。如图 6 所示。图 6异常4.5接入 EDR，保护主机安全EDR（终端安全响应系统）可实时监测服务器网络连接、数据传输、服务器运行状态、文件生成、内存空间是否异常，当检

22、测出异常后及时防阻断隔离文件或者进程。EDR 可用于攻击者突破前面所有防御，已经着手渗透服务器，或者进行内网横向移动时候，及时监测防御，降低攻击影响。重庆电信内部同时采用了业内多款服务器安全终端，同时接入了电信集团安全 agent，实现集资产发现、基线采集、漏洞扫描、流量探测、主机隔离等功能于一体。EDR 终端检测模型如图 7 所示。图 7EDR 终端检测模型资产发现：定期通过主动扫描、被动发现、手工录入和人工排查等多种方法收集当前网络中所有软硬件资产，包括全网所有的端点资产和在用的软件名称、版本，确保整个网络中没有安全盲点。系统加固：定期进行漏洞扫描、补丁修复、安全策略设置和更新端点软件清单

23、，通过软件白名单限制未经授权的软件运行，通过主机防火墙限制未经授权的服务端口开放，并定期检查和清理内部人员的账号和授权信息。威胁检测：通过端点本地的主机入侵检测和借助云端威胁情报、异常行为分析、攻击指示器等方式，针对各类安全威胁，在其发生前、发生中、发生后进行相应的安全检测动作。响应取证：针对全网的安全威胁进行可视化展示，能够针对安全威胁自动化地进行隔离、修复和补救，自动完成安全威胁的调查、分析和取证工作，降低事件响应和取证分析的技术门槛，不需要依赖于外部专家即可完成快速响应和取证分析。5结束语本文主要介绍了当前 APP 面临的各种网络安全风险、常用渗透测试和漏洞扫描攻击技术，并分析了常见网络

24、安全防御技术以及常见防御技术存在的缺点，最后在重庆电信企业内部以常规方案为基础，采用五步方案对纵深防御的新型防御综合方案进行了探索与实践。详细介绍了从黑客（攻击者、安全检测者）攻击到基本防御，再到纵深防御的方案研究。在建设过程（下转第 93 页）系统加固资产发现端点检测与响应抗攻击防泄密威胁检测响应取证Science and Technology&Innovation科技与创新2023 年 第 04 期93图 7优化后的扇叶辐条两端将改进优化后的模型导入 ANSYS Workbench 中，施加相同的载荷与约束再次进行仿真分析，结果如图 8所示。图 8优化后的轮圈安全系数云图根据结果，可以得出

25、辐条上下端连接处的安全系数由 1.36 上升至 2.68，说明优化后的轮辐，应力集中情况有所改善。虽然静力学模块并未考虑动载荷的影响，但仿真分析得出，其最大等效弹性应变为 0.17%，最大应力在 115.7 MPa 左右，满足安全标准，可以正常使用。4总结本文是在设计扇叶辐条轮圈的过程中，总结整理车轮在极限工况下的力学数据，并在 ANSYS 有限元分析软件中对初版扇叶辐条轮圈的模型进行了静力学仿真。过程中发现其辐条上下端连接处存在应力集中的问题，因此进行了优化处理，从再次的仿真结果来看应力集中得到缓解，安全系数提高。最终得到扇叶辐条轮圈的最终成品模型。本文的分析研究对 FSC 赛车车轮的设计具

26、有参考价值，也为今后相关轮辐的设计提供思路。参考文献：1蒋建军.风冷降温式车轮开发与研究D.柳州：广西科技大学，2013.2李桂丽.风冷降温式车轮的快速原型与实验研究D.柳州：广西科技大学，2013.3修浩然，马天放，周朋飞，等.FSAE 赛车车轮设计及静强度仿真分析J.汽车实用技术，2020（1）：102-104.4未建德，杨睿，赵迪，等.方程式赛车碳纤维-铝合金组合轮辋的设计与力学分析C/2021 中国汽车工程学会年会暨展览会，上海：中国汽车工程学会，2021.作者简介：章思源（2002），浙江宁波人，本科生，研究方向为 FSC 赛车传动系统、汽车底盘技术。昝加鹏（2001），四川广元人，

27、本科生，研究方向为 FSC赛车空气动力学。阮可嫣（2003），安徽铜陵人，本科生，研究方向为 FSC 赛车传动系统。（编辑：张超）（上接第 89 页）中，从适当的进行安全左移，在开发侧做大量的安全工作，通过源代码审计、加强源码保护（JS 加固、APP加固）、检测 APP 运行环境安全、接入 WAF 系统，保障服务安全、接入 EDR，保护主机安全共 5 个方向全方位保障业务系统安全，打造牢固的IT系统安全堡垒，且该纵深防御方案易于复制，可大规模推广。参考文献：1张婧宇，毛盾，唐昊同，等.安卓 APP 安全风险分析与渗透测试研究J.电子世界，2021（10）：91-94.2 周元林，张常泉，邓国印.面向 Android 系统的 APP安全加固技术研究 J.南方农机，2021，52（11）：164-165.3 马月，侯雪城，吴佳帅，等.Web 应用防火墙（WAF）技术的综述J.计算机时代，2020（3）：13-15，19.4刘文生，乐德广，刘伟.SQL 注入攻击与防御技术研究J.信息网络安全，2015，15（9）：129-134.作者简介：刘威（1995），男，重庆人，本科，工程师，研究方向为网络安全（漏洞挖掘、安全攻防）、软件研发（服务端方向）、区块链技术应用、人工智能应用等。（编辑：王霞）