客户背景:一家非盈利公司,服务于数百万健康计划会员和数万名医生,专注于与医生和医院合作,提供高效、具成本效益的护理,并通过预测和处方健康问题降低医疗保险成本。公司为保险会员和医生开发沟通工具,包括一款新的移动保险应用程序。
业务挑战:该移动应用程序使用Kony混合移动框架开发,需在投入生产前通过独立的第三方安全审计。SoftServe提供应用程序安全验证,重点关注有限密码学、硬编码的测试值和凭证、后端安全、密码暴力破解、弱密码更改用户密码机制、敏感文件工件和数据等潜在威胁。
项目描述:SoftServe的安全审计团队(包括两名认证道德黑客和两名软件安全架构师)对Android和iOS应用进行动态应用分析和静态代码审查,发现以下安全问题:
- 未经授权访问后端,敏感客户端数据
- 密码暴力破解的潜在风险
- 硬编码值导致黑客进行应用程序研究
安全审计目标:为期一周的审计旨在快速检测、分析并纠正已识别的安全缺陷,按计划发布新应用程序,保护公司品牌并确保敏感客户信息安全,防止数据泄露导致的HIPAA罚款(最高150万美元/事件)。
关键发现与建议:审计团队发现的应用程序漏洞包括:
- 中间人攻击
- 应用信息收集
- 网络攻击
- 应用映射
- 山羊山金融参数篡改
- 应用建筑
- 用户名密码
- SQL注入
- XSS等
- 不安全数据存储
- 后端攻击
- 客户端攻击
- 运行时分析
- 未处理异常
- 应用反转
- main()
- 创造管理
- 创造UIApplicationDelegate
- RunLoop载荷代理
- 发送创造AppDelegatr
- Info.plist
- MainWindow.xib
- application: didFinishLaunchingWithOptions:
解决方案:SoftServe向客户开发团队提供了详细的技术建议,帮助其纠正已发现的安全问题,最终按计划将新应用程序发布到生产环境中。
关于SoftServe:作为一家在科技前沿提供建议和服务的数字权威,SoftServe专注于开放式创新,赋能企业和软件公司通过共情、以人为本的设计,加速解决方案开发,并在数字经济中竞争。
