移動應(yīng)用安全

第1部分 移動平臺
第1章 移動應(yīng)用主要問題及開發(fā)策略
1.1 移動終端面臨的主要問題
1.1.1 物理安全
1.1.2 數(shù)據(jù)存儲安全（磁盤）
1.1.3 應(yīng)用有限的鍵盤實現(xiàn)強認證
1.1.4 支持多用戶的安全
1.1.5 安全瀏覽環(huán)境
1.1.6 加固操作系統(tǒng)
1.1.7 應(yīng)用隔離
1.1.8 信息泄露
1.1.9 病毒、蠕蟲、后門、間諜軟件和惡意軟件
1.1.10 艱難的補丁更新/升級過程
1.1.11 嚴(yán)格使用和實施SSL
1.1.12 釣魚攻擊
1.1.13 跨站請求偽造（Cross-Site Request Forgery，CSRF）
1.1.14 位置隱私/安全
1.1.15 不安全的設(shè)備驅(qū)動
1.1.16 多因素認證
1.2 移動應(yīng)用安全開發(fā)中的技巧
1.2.1 應(yīng)用TLS/SSL
1.2.2 遵循安全編程實踐
1.2.3 對輸入進行驗證
1.2.4 應(yīng)用OS提供的控制模型
1.2.5 應(yīng)用系統(tǒng)訪問的最小權(quán)限模型
1.2.6 恰當(dāng)?shù)卮鎯γ舾行畔?
1.2.7 對應(yīng)用代碼進行簽名
1.2.8 設(shè)計安全和健壯的升級過程
1.2.9 理解移動瀏覽器的安全功能和局限性
1.2.10 清除非威脅因素
1.2.11 應(yīng)用安全/直觀的移動URL
1.3 小結(jié)
第2章 Android平臺安全
2.1 Android開發(fā)和調(diào)試
2.2 Android安全的IPC機制
2.2.1 活動（Activity）
2.2.2 廣播（Broadcast）
2.2.3 服務(wù)（Service）
2.2.4 內(nèi)容提供器（ContentProvider）
2.2.5 Binder
2.3 Android安全模型
2.4 Android控制模型小結(jié)
2.5 創(chuàng)建新的Manifest權(quán)限控制文件
2.6 Intent
2.6.1 Intent概述
2.6.2 IntentFilter
2.7 Activity
2.8 Broadcast
2.8.1 接收廣播Intent
2.8.2 安全地發(fā)送廣播Intent
2.8.3 Sticky Broadcast
2.9 Service
2.10 ContentProvider
2.11 避免SQL注入
2.12 Intent Reflection
2.13 文件和優(yōu)先選項
2.14 大容量存儲
2.15 Binder接口
2.15.1 調(diào)用者權(quán)限或者身份檢查實現(xiàn)安全
2.15.2 Binder引用安全
2.16 Android 安全工具
2.16.1 Manifest瀏覽器
2.16.2 Package Play
2.16.3 Intent Sniffer
2.16.4 Intent Fuzzer
2.17 小結(jié)
第3章 iPhone平臺安全
3.1 歷史
3.1.1 iPhone和OS X
3.1.2 “越獄”與“反越獄”
3.1.3 iPhone SDK
3.1.4 未來發(fā)展
3.2 開發(fā)
3.2.1 反編譯和反匯編
3.2.2 避免逆向工程
3.3 安全測試
3.3.1 緩沖區(qū)溢出
3.3.2 整數(shù)溢出
3.3.3 格式化字符串攻擊
3.3.4 雙重釋放（Double-Free）
3.3.5 靜態(tài)分析
3.4 應(yīng)用程序格式
3.4.1 編譯和打包
3.4.2 分發(fā)：Apple Store
3.4.3 代碼簽名
3.4.4 執(zhí)行未經(jīng)簽名的代碼
3.5 權(quán)限及用戶控制
3.5.1 沙箱
3.5.2 Exploit Mitigation
3.5.3 權(quán)限
3.6 本地數(shù)據(jù)存儲：文件、權(quán)限和加密
3.6.1 SQLite 存儲
3.6.2 iPhone Keychain存儲
3.6.3 共享Keychain存儲
3.6.4 向證書存儲中添加證書
3.6.5 獲取Entropy 2
3.7 網(wǎng)絡(luò)
3.7.1 URL裝載API
3.7.2 NSStream
3.7.3 P2P
3.8 push 通知，復(fù)制/粘貼以及其他IPC
3.8.1 push通知
3.8.2 UIPasteboard
3.9 小結(jié)
第4章 Windows Mobile的安全性
4.1 平臺介紹
4.1.1 與Windows CE的關(guān)系
4.1.2 設(shè)備結(jié)構(gòu)
4.1.3 設(shè)備存儲
4.2 內(nèi)核構(gòu)架
4.2.1 內(nèi)存管理
4.2.2 Windows CE進程
4.2.3 服務(wù)
4.2.4 對象
4.2.5 內(nèi)核模式和用戶模式
4.3 開發(fā)及安全測試
4.3.1 編碼環(huán)境和SDK
4.3.2 模擬器
4.3.3 調(diào)試
4.3.4 反匯編
4.3.5 代碼安全
4.3.6 應(yīng)用程序打包和分發(fā)
4.4 權(quán)限與用戶控制
4.4.1 特權(quán)模式和普通模式
4.4.2 驗證碼、簽名和證書
4.4.3 運行中的應(yīng)用程序
4.4.4 鎖定設(shè)備
4.4.5 管理設(shè)備安全策略
4.5 本地數(shù)據(jù)存儲
4.5.1 文件和權(quán)限
4.5.2 設(shè)備失竊保護
4.5.3 結(jié)構(gòu)化存儲
4.5.4 加密和設(shè)備安全存儲
4.6 組網(wǎng)
4.6.1 連接管理器
4.6.2 WinSock
4.6.3 紅外線
4.6.4 藍牙
4.6.5 HTTP和SSL
4.7 小結(jié) 2
第5章 黑莓手機的安全性
5.1 平臺簡介
5.1.1 黑莓企業(yè)服務(wù)器（BES）
5.1.2 黑莓的互聯(lián)網(wǎng)服務(wù)（BIS）
5.2 設(shè)備和操作系統(tǒng)結(jié)構(gòu)
5.3 開發(fā)及安全測試
5.3.1 編碼環(huán)境
5.3.2 模擬器
5.3.3 調(diào)試
5.3.4 反匯編
5.3.5 代碼安全
5.3.6 應(yīng)用程序打包和分發(fā)
5.4 權(quán)限與用戶控制
5.4.1 RIM的可控API
5.4.2 運營商和MIDlet簽名
5.4.3 對MIDP應(yīng)用程序中的權(quán)限錯誤的處理
5.4.4 鎖定設(shè)備
5.4.5 應(yīng)用程序權(quán)限管理
5.5 本地數(shù)據(jù)存儲
5.5.1 文件和權(quán)限
5.5.2 可編程文件系統(tǒng)訪問
5.5.3 結(jié)構(gòu)化存儲
5.5.4 加密和設(shè)備安全存儲
5.6 組網(wǎng)
5.6.1 設(shè)備防火墻
5.6.2 SSL和WTLS
5.7 小結(jié)
第6章 Java移動版的安全性
6.1 標(biāo)準(zhǔn)開發(fā)
6.2 配置、profile和JSR
6.2.1 配置
6.2.2 profile
6.2.3 可選包
6.3 開發(fā)和安全測試
6.3.1 配置開發(fā)環(huán)境并安裝新平臺
6.3.2 模擬器
6.3.3 逆向工程和調(diào)試
6.3.4 代碼安全
6.3.5 應(yīng)用程序打包和分發(fā)
6.4 權(quán)限和用戶控件
6.4.1 數(shù)據(jù)訪問
6.5 小結(jié)
第7章 塞班系統(tǒng)（SymbianOS）安全性
7.1 平臺介紹
7.1.1 設(shè)備架構(gòu)
7.1.2 設(shè)備存儲器
7.2 開發(fā)和安全測試
7.2.1 開發(fā)環(huán)境
7.2.2 軟件開發(fā)工具
7.2.3 模擬器
7.2.4 調(diào)試
7.2.5 IDA Pro
7.3 代碼安全
7.3.1 Symbian C++
7.3.2 P.I.P.S和OpenC
7.4 應(yīng)用程序包
7.4.1 可執(zhí)行的鏡像格式
7.4.2 安裝包
7.4.3 簽名
7.4.4 塞班簽名
7.4.5 安裝
7.5 權(quán)限和用戶控制
7.5.1 功能概述
7.5.2 可執(zhí)行映像功能
7.5.3 進程功能
7.5.4 進程間的功能
7.6 進程間通信
7.6.1 客戶端/服務(wù)器會話
7.6.2 共享會話
7.6.3 共享句柄
7.7 永久的數(shù)據(jù)存儲
7.7.1 文件存儲
7.7.2 結(jié)構(gòu)化存儲
7.7.3 加密存儲
7.8 小結(jié)
第8章 WebOS安全
8.1 平臺簡介
8.1.1 WebOS系統(tǒng)結(jié)構(gòu)
8.1.2 模型視圖控制器（MVC）
8.1.3 stag
……