代码注入

当攻击者通过 GUI、数据连接点或其他提供对应用程序代码访问权限的向量添加恶意代码时，就会发生代码注入。例如，考虑登录表单字段是否没有任何适当的输入验证，例如值限制。这为黑客提供了一个机会，可以轻松输入任何字符甚至 JavaScript 代码片段来破坏用户数据。
为防止这种情况发生，请务必遵守以下准则：
遵守有助于消除潜在移动应用程序安全威胁的严格编码准则，例如正确区分业务和技术异常。
仔细识别输入源并应用适当的输入验证技术，例如指定的变量类型、标准编码方案和有针对性的渗透测试。

客户端存储和数据泄露

移动应用程序通常需要访问或传输来自外部来源的数据，例如暴露用户数据的另一个应用程序。开发人员通常希望在客户端存储数据，以便应用程序即使处于脱机状态也能正常工作。但是，攻击者可以轻松访问、修改和操纵构成应用程序后端的敏感数据。此外，如果设备被盗，黑客可以从设备的内部存储中检索敏感数据。
为了减轻这些风险，请采用以下数据管理工具和习惯：
使用自动化和第三方静态分析工具，例如 OWASP Zed 攻击代理 (ZAP) 来检测内存泄漏。
识别特别易受攻击的移动数据源，例如消息日志、联系人列表、浏览历史记录和热点连接。
保持移动设备操作系统的更新，并围绕设备使用和安全应用安装执行用户政策。

身份管理和密码学不佳

不充分的身份验证使匿名用户能够操作移动应用程序并危害客户端，甚至可以通过不适当保护的管理员帐户访问底层应用程序系统。即使攻击设法破坏和解码了不必要地包含敏感操作数据的单个应用程序服务，它也很容易为您的整个应用程序生态系统打开一扇门。不正确或薄弱的加密算法也让攻击者有足够的回旋余地来解密数据。
确保您的团队遵循严格的编码实践，例如：
及时了解现代加密算法和适当的密钥管理，例如RSA 算法和高级加密标准。
安装保护措施，例如基于令牌的安全性、多因素身份验证、防火墙和会话超时。
使用最小权限原则，该原则规定特定的应用程序服务应该只能访问它们需要操作的数据。

传输层保护不足

用于在服务器和客户端之间传输数据的路由是一个值得关注的关键领域，因为数据流过运营商网络和互联网。攻击者可以利用这个节点作为数据管道的一个简单入侵点。此外，如果这些数据没有受到安全协议的适当保护，这些数据就会成为直接攻击您系统的弹药。
以下是一些可以更好地保护这些应用程序数据交叉点的方法：
熟悉并仔细实施经过验证的网络流量安全协议，例如安全套接字层和传输层安全。
考虑是否需要实施虚拟专用网络机制，为移动访问添加额外的保护层。
执行定期威胁建模，以识别与某些操作系统、移动框架、设备平台和外部API相关的特定漏洞。