4.1.1.2安全输入

安全输入

一般要求:

a) 移动应用软件应提供用户输入密码的即时防护功能,例如采取逐字符加密、随机键位软键盘、防范键盘窃听技术、计算mac校验码等措施。

条款来源:

一、逐字符加密-检测项:(Base64字符串加密检测)

技术场景:app通过web接口操作服务器数据时,对数据进行加密和解密。app上,用户需要通过web接口向服务器保存数据。其中如果不做处理,可能造成接口被盗用的情况。采用了数据签名+定制的base64加密的方法,来进行数据验证和加密

二、随机键位软键盘-检测项:

技术场景:即要在app中实现数字软键盘的数字,在每次显示键盘时重新随机排列,如图:
这里写图片描述

三、防范键盘窃听技术-检测项:<远程代码执行> WebView RCE漏洞检测(引申《键盘窃听技术》)

技术场景:防监听的关键在于管控APP的权限防止远程代码执行。Android APP禁止旋转和软键盘的控制。

四、计算MAC校验码(引申《常见的MAC算法》)

安全报文中的MAC计算方法
校验码(MAC)总是命令或命令响应数据域中最后一个数据元素。规定MAC的长度皆为4个字节。当命令的数据域中要求必须带MAC时,即命令安全报文传送,命令头中CLA字节的低半字节必须等于十六进制数字‘4’。
命令安全报文中的MAC是使用命令的所有元素(包括命令头和包含在命令数据域中的数据)来产生的。从而保证命令连同数据能够正确完整地传送,并对发送方进行认证。

增强要求:

a)移动应用软件应提供用户输入敏感信息,诸如身份证号、手机号、邮箱、姓名等信息的即时防护功能,如被其它软件截获。

技术场景:此条款主要是针对防范键盘窃听技术和密码技术的加强项,要求正确使用密码算法,对身份证号、手机号、邮箱、姓名等信息进行加密。并对app的权限进行控制,防止信息被成功获取。

AnonymousBu wechat
bujun1018
-------------endingThanks for you reading-------------
显示 Gitment 评论
0%