一種建設APP 網絡安全縱深防御體系的綜合方案研究＊

劉威

（中國電信股份有限公司重慶分公司，重慶 401122）

當前互聯網快速發展，用戶可直接在網上下載日常使用的APP，主要下載渠道包括APP 運營者官網、第三方APP 應用分發平臺，比如華為應用市場、小米應用市場等。工信部《2020 年1—11 月互聯網和相關服務業運行情況》一文公布，截至2020 年11 月末，中國國內市場上監測到的APP 數量為346 萬款。互聯網上暴露的APP 如此之多，相信還有部分公司的內部APP 未被統計，暴露公網的APP 非常容易被黑客進行滲透測試，如果被非法挖掘到漏洞進而被惡意利用，會對用戶信息、資產安全和公司系統安全造成比較大的影響。在各公司內部，安全部門針對網絡安全防護和漏洞檢測都有著嚴格的要求和制度。作為安全研究員，除了常規的軟件源代碼靜態審計、APP 加固方式，還需要思考研究其他的紅藍對抗攻防方案。本文以平時安全工作為基點，先從黑客視角分析研究APP 滲透測試技術，再從反滲透測試，與黑客進行對抗，研究如何預防APP 被滲透測試，在重慶電信內部進行多角度建設針對APP 安全的縱深防御體系。

1 APP 常見滲透測試方法

移動APP 安全評估主要采用自動化掃描、人工滲透測試，其中人工滲透測試主要是用抓包。

1.1 自動化掃描

使用MobSF、QARK、pinpoint 等工具掃描APK靜態程序，可以主要發現程序反編譯、數據明文存儲、任意代碼執行、跨站腳本攻擊等安全風險。自動化掃描根據分析打包后的二進制程序進行解壓分析。分析各項配置文件，如果未加固，還可進行反編譯源代碼，深入自動化審計源代碼。

1.2 手工模糊測試（功能測試）

根據APP 界面業務邏輯進行分析，尋找業務邏輯中的漏洞，比如密碼找回功能，實現任意賬號用戶密碼找回重置漏洞、驗證碼校驗繞過漏洞等邏輯設計缺陷的漏洞。

1.3 手工模糊測試（接口數據包攻擊）

使用BurpSuite 軟件截取每個接口的數據包，分析具體的每個數據包接口、內容、參數。篡改數據包實現攻擊，能夠導致包括但不限于SQL 注入、木馬上傳、目錄遍歷、任意命令執行等嚴重高危漏洞[1]。

2 常見網絡安全防御

針對上面提出的3 點常見滲透測試，業界已經有常見的針對性防御手段。

2.1 防止自動化掃描

使用WAF、IDS 等應用層和網絡層防火墻工具進行自動防御，根據用戶IP 訪問次數和特殊URL、數據包特殊敏感字段進行綜合研判，進行單次阻斷攻擊行為和封禁IP 操作。

2.2 防止手工模糊測試（功能測試）

結合自動化測試框架Selenium、Appium 開發企業自動化測試系統進行固定模板路線測試和非固定路線測試，7×24 h 不定期點擊測試APP 所有功能點，提取功能列表，抽取每個功能數據包，針對提取數據包進行自動主動替換敏感字段進行模糊攻擊，最終自動化測試系統、自動研判輸出自動化報告，人工根據報告確認是否存在漏洞。

2.3 防止手工模糊測試（接口數據包攻擊）

接口數據包攻擊，總體思路是采用人工抓包，以攻擊者視角查看URL 欄、header、cookies、數據包體等位置是否可進行注入、替換、遍歷以及邏輯等漏洞。預防該方法常規是使用添加sign 字段，針對數據包內容進行簽名，然后將sign 放入json 字段或者header 中單獨傳遞到后端，后端根據該sign 去校驗數據包是否被篡改，保證接口數據真實性。另一種業界常用方法是針對接口數據包進行全加密，采用AES、3DES 或者國密SM4 等對稱加密算法和國密SM2、RSA 非對稱加密算法進行加密，后端根據對應算法解密，以此確保接口數據真實性。

3 常見網絡安全防御的缺點

前面介紹的3 種常見防御確實可以阻止很大一部分黑客攻擊行為，可有效降低APP 被滲透測試后發現漏洞的概率。但是結合3 種方案針對性防御，成本太高，需要所有軟件開發者具備完善的安全常識，熟悉安全左移相關知識。如果某一個功能點由于開發者疏忽未進行加密或者未進行嚴格校驗，均可能被攻擊者突破，進而導致其余防御功虧一簣。

4 新方案探索與實踐

傳統預防方案效果不佳且成本較高，本次筆者將從多維度進行探索更加高效、更加簡潔的預防APP 被滲透測試（攻擊）的方案。具體從以下幾個維度進行開展試驗。

4.1 （安全左移）源代碼靜態審計

在開發階段，從2021-06-01 開始，安全部門要求各研發中心團隊結合靜態源碼審計工具和人工源碼審計，將安全左移，按照源碼自動化審計工具報告建議，不斷迭代優化系統，經歷了4 個月。此辦法可封堵開發階段大部分常規漏洞和業務邏輯漏洞，比如某內部電信業務辦理系統，包含APP 和服務端系統，如圖1所示，從最初的缺陷數總量變化2 393 個到323 個，缺陷數壓降87%，效果明顯。經過仔細分析發現，剩下的大多屬于誤報，結合實際情況無需進行整改。

圖1 安全左移，靜態源碼審計缺陷數變化

使用電信集團內部云道安全中心提供的靜態源碼審計工具，針對源代碼項目和打包生成后應用進行靜態掃描，結合語義和正則匹配調用，發現脆弱性源碼和配置文件。

人工CodeReview，每項目指派2 名高級開發工程師定期針對新提交的git 倉庫源碼進行人工代碼審計，彌補靜態審計工具不足。

4.2 加強源碼保護

針 對 APP 內 原 生 代 碼 采 用 OLLVM（Obfuscator-LLVM 是瑞士西北應用科技大學安全實驗室于2010 年6 月份發起的一個針對LLVM 的代碼混淆工具，增加對逆向工程的難度）進行混淆保護，提高反編譯后代碼審計難度。

現在公司APP 開發主要有原生APP 開發技術、混合開發Hybrid App 技術（結合原生APP 和WEB 技術開發的混合技術開發的APP），重慶電信內部IT 系統也有多款應用采用了混合技術進行開發。針對Hybrid App 技術，筆者們創新性地對JavaScript 代碼部分也進行混淆加密保護。采用JS 加密技術可最大化地保護前端邏輯和秘鑰，加大前端審計難度，提高前端代碼安全性。如采用商業收費技術——瑞數JS 加密，或者免費的jsjiami 網提供技術。為了控制成本，在研發中心內部，筆者們采用免費的jsjiami 網的JS 加密功能。

JS 加密前：(function(w,d){alert(” 我是加密前的彈窗” );})(window,document);

JS 加密后：備注：因加密混淆后數據填充導致代碼變成，此處為節選部分加密后的代碼。JS 加密后效果（源碼）如圖2 所示。

圖2 JS 加密后效果（源碼）

var

_0xodW=” jsjiami.com.v6” ,_0x50cf=[_0xodW,” MS3Dszk=” ,” I8O0wpM7wpY=” ,” HMOQa8KOVA==” ,” w4Zzw7XCiQ==” ,” fcKSKsOpUA==” ,” w4DDnhwAwq0=” ,” wqsTw5XDgnc=” ,” w7HDiA0HwrI=” ,” w7jCr0PDng==” ,” w5XDhg3CpGo=” ,” XMOcw5xS” ,” TmNRPz8=” ,” fE8fwp1I” ,” w6zCt8K1eUo=” ,” w6hPREE=” ,” w5fDgQIFwppMw7Y=” ,” w6MYwqk8Ug==” ,” wpgHYhFVZEVWwqo=” ,” fcKrBcKawqzCvsKP” ,” UsKxa BpC” ,” QcKxBMOow4c=” ,” e0DCg8OaFA==” ,” PMKRw5pz w67DmnkWZA==” ,” w7/CmsKNY34=” ,” UmPDl21s” ,” Gmt ZwqgiAA==” ,” w4MTw6PDlkZjw5Y=” ,” KsKQw5Blw6fDn 3I=” ,” fMKgDcO/w6Y=” ,” Y8KGHsOOw5E=” ,” BcKRwonC mg==” ,” asK2CsKKwqY=” ,” w7ZAUEA=” ,” I0BcAsOq” ,” LM KNw4x5w7o=” ,” PTvDuSgwBcKsc8K1” ,” w555w6E=” ,” w6c hwq05aA==” ,” wpwPcRhc” ,” QsKgBsOw” ,” VmjDmktLVg4=” ,” OWt4w4srwqsMV8OG” ,” wrJQa8KW” ,” QEbCo8OnMA==” ,” wo4hVMKqwoo=” ,” cRI2w40w” ,” HxnDtR0H” ,” wrU6Vyx P” ,” US86w6gJw4RiLcKgwoTDoW/DrMK1QhQgw5xswo Q8worCuA==”

加密JS 運行結果如圖3 所示。

圖3 JS 加密后運行結果

可觀察到JS 代碼加密前和加密后差距較大，完全隱藏了真實的業務邏輯，并可正常運行。

完整APP 再次進行加固，保證APP 整體安全。國內主流第三方廠家如梆梆安全、愛加密、360 加固等都提供APP 加固產品。APP 加固可防止泄露敏感配置信息和其他業務邏輯代碼信息，是一道源碼保護的最終防線。APP 加固增大反編譯APP 難度，將大部分攻擊者拒之門外。重慶電信APP 同時采用了愛加密和梆梆加密，不同業務采用不同的加密規則。

如圖4 所示APP 經過加固后隱藏了真實源代碼，反編譯后無法查看。隨著加固引擎的升級，脫殼難度越來越大[2]。

圖4 APP 加固后反編譯結果

4.3 （動態運行檢測）時刻檢測APP 運行環境安全性

我們在APP 運行時，activity 動態切換時刻，持續檢測APP 是否運行在虛擬機中，比如檢測夜神模擬器、網易MuMu 模擬器等常見國內外模擬器環境。我們在開發側加入了如下前置檢測代碼，一旦檢測到存在虛擬機內運行特征自動閃退并推送設備環境等信息到APP 服務端，聯動風控產生告警，人工跟蹤復核是否惡意攻擊。

檢測APP 運行環境中是否存在ROOT 權限，存在ROOT 權限的環境往往不安全，現在各大廠商禁止解鎖BootLoaderh 和ROOT 設備，就是為了提高設備安全性。因此當檢測到ROOT 環境后，自動閃退并推送設備環境等信息到APP 服務端，聯動風控產生告警，人工跟蹤復核是否惡意攻擊。

檢測APP 是否存在關鍵HOOK 函數，加入了XPOSED、Frida HOOK 檢測，若被HOOK 應自動閃退并推送設備環境等信息到APP 服務端，聯動風控產生告警，人工跟蹤復核是否惡意攻擊。

檢測APP 是否存在流量代理和VPN 代理，存在VPN 代理和流量代理（前端開發加入了流量端口轉發、VPN 環境檢測），說明該APP 大概率正被抓包中或者中間人攻擊監聽，風險較大。因此需要自動閃退并推送設備環境等信息到APP 服務端，聯動風控產生告警，人工跟蹤復核是否惡意攻擊。

4.4 （動態運行防護）接入WAF 系統，保障服務安全

WAF（WEB 應用防火墻）可保證WEB 服務安全，比如被惡意探測、SQL 注入、命令執行和目錄掃描等。WAF 規則時刻更新，預防CVE 以及0 Day 漏洞來襲，第一時間降低產品風險。WAF 可采用開源自建和第三方購買WAF（軟件WAF、硬件WAF、云WAF）。

開源自建WAF，比如ModSecurity、FreeWAF、VeryNginx、 Naxsi 等開源產品，再基于此進行訪問規制更新，當互聯網上出現新漏洞時候，根據對應特征進行配置攔截。

安全廠家的商業WAF。目前主流廠家WAF 比如阿里云WAF、綠盟WAF、中國電信安全幫WAF、啟明星辰均可提供較為成熟的保護。現在WAF 采用方案是結合傳統攻擊特征進行正則匹配+機器學習算法共同研判攻擊行為。商業WAF 產品與威脅情報、DDoS防御、Bot 防護、CDN 等常用產品或功能組件的緊密協同能夠幫助企業打造針對Web 應用的更為主動的防護體系[3]。

大多數WAF 都是基于規則的WAF。其原理是每一個會話都要經過一系列的測試，每一項測試都由一個過多個檢測規則組成，如果測試沒通過，請求就會被認為非法并拒絕。帶機器學習功能的新WAF 可以學習未知風險。通過一段時間的用戶訪問，WAF 記錄了常用網頁的訪問模式，如一個網頁中有幾個輸入點，輸入的是什么類型的內容，通常情況的長度是多少……學習完畢后，定義出一個網頁的正常使用模式，當今后有用戶突破了這個模式，如一般的賬號輸入不應該有特殊字符，而XML 注入時需要有“<”之類的語言標記，WAF 就會根據你預先定義的方式預警或阻斷；再如密碼長度一般不超過20 位，在SQL 注入時加入代碼會很長，同樣突破了網頁訪問的模式，因而被WAF 判斷為惡意攻擊進行攔截。防護主旨是“不符合我的常規就是異常的”，也是入侵檢測技術的一種，比起單純的Web 防火墻來，不僅給入侵者“下通緝令”，而且建立進入自家的內部“規矩”，這一種雙向的控制，顯然比單向的要好[4]。

內部同時采用了云WAF 和自建WAF，云WAF 由SOC 部門統一采購，為了避免誤傷，規則較大，因此在近源端自建WAF，基于開源WAF 自編規則，結合業務寫規則。下面是測試環境驗證WAF 效果，對探測性行為也進行了攔截。

訪問http://10.236.17.1/index?id=1，正常返回。如圖5 所示。

圖5 正常訪問

訪問http://10.236.17.1/index?id=1 or 1=1，被WAF攔截，阻止攻擊。如圖6 所示。

圖6 異常

4.5 接入EDR，保護主機安全

EDR（終端安全響應系統）可實時監測服務器網絡連接、數據傳輸、服務器運行狀態、文件生成、內存空間是否異常，當檢測出異常后及時防阻斷隔離文件或者進程。EDR 可用于攻擊者突破前面所有防御，已經著手滲透服務器，或者進行內網橫向移動時候，及時監測防御，降低攻擊影響。

重慶電信內部同時采用了業內多款服務器安全終端，同時接入了電信集團安全agent，實現集資產發現、基線采集、漏洞掃描、流量探測、主機隔離等功能于一體。EDR 終端檢測模型如圖7 所示。

圖7 EDR 終端檢測模型

資產發現：定期通過主動掃描、被動發現、手工錄入和人工排查等多種方法收集當前網絡中所有軟硬件資產，包括全網所有的端點資產和在用的軟件名稱、版本，確保整個網絡中沒有安全盲點。

系統加固：定期進行漏洞掃描、補丁修復、安全策略設置和更新端點軟件清單，通過軟件白名單限制未經授權的軟件運行，通過主機防火墻限制未經授權的服務端口開放，并定期檢查和清理內部人員的賬號和授權信息。

威脅檢測：通過端點本地的主機入侵檢測和借助云端威脅情報、異常行為分析、攻擊指示器等方式，針對各類安全威脅，在其發生前、發生中、發生后進行相應的安全檢測動作。

響應取證：針對全網的安全威脅進行可視化展示，能夠針對安全威脅自動化地進行隔離、修復和補救，自動完成安全威脅的調查、分析和取證工作，降低事件響應和取證分析的技術門檻，不需要依賴于外部專家即可完成快速響應和取證分析。

5 結束語

本文主要介紹了當前APP 面臨的各種網絡安全風險、常用滲透測試和漏洞掃描攻擊技術，并分析了常見網絡安全防御技術以及常見防御技術存在的缺點，最后在重慶電信企業內部以常規方案為基礎，采用五步方案對縱深防御的新型防御綜合方案進行了探索與實踐。詳細介紹了從黑客（攻擊者、安全檢測者）攻擊到基本防御，再到縱深防御的方案研究。在建設過程中，從適當的進行安全左移，在開發側做大量的安全工作，通過源代碼審計、加強源碼保護（JS 加固、APP加固）、檢測APP 運行環境安全、接入WAF 系統，保障服務安全、接入EDR，保護主機安全共5 個方向全方位保障業務系統安全，打造牢固的IT 系統安全堡壘，且該縱深防御方案易于復制，可大規模推廣。