劉威

（中國(guó)電信股份有限公司重慶分公司，重慶 401122）

當(dāng)前互聯(lián)網(wǎng)快速發(fā)展，用戶(hù)可直接在網(wǎng)上下載日常使用的APP，主要下載渠道包括APP 運(yùn)營(yíng)者官網(wǎng)、第三方APP 應(yīng)用分發(fā)平臺(tái)，比如華為應(yīng)用市場(chǎng)、小米應(yīng)用市場(chǎng)等。工信部《2020 年1—11 月互聯(lián)網(wǎng)和相關(guān)服務(wù)業(yè)運(yùn)行情況》一文公布，截至2020 年11 月末，中國(guó)國(guó)內(nèi)市場(chǎng)上監(jiān)測(cè)到的APP 數(shù)量為346 萬(wàn)款?；ヂ?lián)網(wǎng)上暴露的APP 如此之多，相信還有部分公司的內(nèi)部APP 未被統(tǒng)計(jì)，暴露公網(wǎng)的APP 非常容易被黑客進(jìn)行滲透測(cè)試，如果被非法挖掘到漏洞進(jìn)而被惡意利用，會(huì)對(duì)用戶(hù)信息、資產(chǎn)安全和公司系統(tǒng)安全造成比較大的影響。在各公司內(nèi)部，安全部門(mén)針對(duì)網(wǎng)絡(luò)安全防護(hù)和漏洞檢測(cè)都有著嚴(yán)格的要求和制度。作為安全研究員，除了常規(guī)的軟件源代碼靜態(tài)審計(jì)、APP 加固方式，還需要思考研究其他的紅藍(lán)對(duì)抗攻防方案。本文以平時(shí)安全工作為基點(diǎn)，先從黑客視角分析研究APP 滲透測(cè)試技術(shù)，再?gòu)姆礉B透測(cè)試，與黑客進(jìn)行對(duì)抗，研究如何預(yù)防APP 被滲透測(cè)試，在重慶電信內(nèi)部進(jìn)行多角度建設(shè)針對(duì)APP 安全的縱深防御體系。

1 APP 常見(jiàn)滲透測(cè)試方法

移動(dòng)APP 安全評(píng)估主要采用自動(dòng)化掃描、人工滲透測(cè)試，其中人工滲透測(cè)試主要是用抓包。

1.1 自動(dòng)化掃描

使用MobSF、QARK、pinpoint 等工具掃描APK靜態(tài)程序，可以主要發(fā)現(xiàn)程序反編譯、數(shù)據(jù)明文存儲(chǔ)、任意代碼執(zhí)行、跨站腳本攻擊等安全風(fēng)險(xiǎn)。自動(dòng)化掃描根據(jù)分析打包后的二進(jìn)制程序進(jìn)行解壓分析。分析各項(xiàng)配置文件，如果未加固，還可進(jìn)行反編譯源代碼，深入自動(dòng)化審計(jì)源代碼。

1.2 手工模糊測(cè)試（功能測(cè)試）

根據(jù)APP 界面業(yè)務(wù)邏輯進(jìn)行分析，尋找業(yè)務(wù)邏輯中的漏洞，比如密碼找回功能，實(shí)現(xiàn)任意賬號(hào)用戶(hù)密碼找回重置漏洞、驗(yàn)證碼校驗(yàn)繞過(guò)漏洞等邏輯設(shè)計(jì)缺陷的漏洞。

1.3 手工模糊測(cè)試（接口數(shù)據(jù)包攻擊）

使用BurpSuite 軟件截取每個(gè)接口的數(shù)據(jù)包，分析具體的每個(gè)數(shù)據(jù)包接口、內(nèi)容、參數(shù)。篡改數(shù)據(jù)包實(shí)現(xiàn)攻擊，能夠?qū)е掳ǖ幌抻赟QL 注入、木馬上傳、目錄遍歷、任意命令執(zhí)行等嚴(yán)重高危漏洞[1]。

2 常見(jiàn)網(wǎng)絡(luò)安全防御

針對(duì)上面提出的3 點(diǎn)常見(jiàn)滲透測(cè)試，業(yè)界已經(jīng)有常見(jiàn)的針對(duì)性防御手段。

2.1 防止自動(dòng)化掃描

使用WAF、IDS 等應(yīng)用層和網(wǎng)絡(luò)層防火墻工具進(jìn)行自動(dòng)防御，根據(jù)用戶(hù)IP 訪(fǎng)問(wèn)次數(shù)和特殊URL、數(shù)據(jù)包特殊敏感字段進(jìn)行綜合研判，進(jìn)行單次阻斷攻擊行為和封禁IP 操作。

2.2 防止手工模糊測(cè)試（功能測(cè)試）

結(jié)合自動(dòng)化測(cè)試框架Selenium、Appium 開(kāi)發(fā)企業(yè)自動(dòng)化測(cè)試系統(tǒng)進(jìn)行固定模板路線(xiàn)測(cè)試和非固定路線(xiàn)測(cè)試，7×24 h 不定期點(diǎn)擊測(cè)試APP 所有功能點(diǎn)，提取功能列表，抽取每個(gè)功能數(shù)據(jù)包，針對(duì)提取數(shù)據(jù)包進(jìn)行自動(dòng)主動(dòng)替換敏感字段進(jìn)行模糊攻擊，最終自動(dòng)化測(cè)試系統(tǒng)、自動(dòng)研判輸出自動(dòng)化報(bào)告，人工根據(jù)報(bào)告確認(rèn)是否存在漏洞。

2.3 防止手工模糊測(cè)試（接口數(shù)據(jù)包攻擊）

接口數(shù)據(jù)包攻擊，總體思路是采用人工抓包，以攻擊者視角查看URL 欄、header、cookies、數(shù)據(jù)包體等位置是否可進(jìn)行注入、替換、遍歷以及邏輯等漏洞。預(yù)防該方法常規(guī)是使用添加sign 字段，針對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行簽名，然后將sign 放入json 字段或者h(yuǎn)eader 中單獨(dú)傳遞到后端，后端根據(jù)該sign 去校驗(yàn)數(shù)據(jù)包是否被篡改，保證接口數(shù)據(jù)真實(shí)性。另一種業(yè)界常用方法是針對(duì)接口數(shù)據(jù)包進(jìn)行全加密，采用AES、3DES 或者國(guó)密SM4 等對(duì)稱(chēng)加密算法和國(guó)密SM2、RSA 非對(duì)稱(chēng)加密算法進(jìn)行加密，后端根據(jù)對(duì)應(yīng)算法解密，以此確保接口數(shù)據(jù)真實(shí)性。

3 常見(jiàn)網(wǎng)絡(luò)安全防御的缺點(diǎn)

前面介紹的3 種常見(jiàn)防御確實(shí)可以阻止很大一部分黑客攻擊行為，可有效降低APP 被滲透測(cè)試后發(fā)現(xiàn)漏洞的概率。但是結(jié)合3 種方案針對(duì)性防御，成本太高，需要所有軟件開(kāi)發(fā)者具備完善的安全常識(shí)，熟悉安全左移相關(guān)知識(shí)。如果某一個(gè)功能點(diǎn)由于開(kāi)發(fā)者疏忽未進(jìn)行加密或者未進(jìn)行嚴(yán)格校驗(yàn)，均可能被攻擊者突破，進(jìn)而導(dǎo)致其余防御功虧一簣。

4 新方案探索與實(shí)踐

傳統(tǒng)預(yù)防方案效果不佳且成本較高，本次筆者將從多維度進(jìn)行探索更加高效、更加簡(jiǎn)潔的預(yù)防APP 被滲透測(cè)試（攻擊）的方案。具體從以下幾個(gè)維度進(jìn)行開(kāi)展試驗(yàn)。

4.1 （安全左移）源代碼靜態(tài)審計(jì)

在開(kāi)發(fā)階段，從2021-06-01 開(kāi)始，安全部門(mén)要求各研發(fā)中心團(tuán)隊(duì)結(jié)合靜態(tài)源碼審計(jì)工具和人工源碼審計(jì)，將安全左移，按照源碼自動(dòng)化審計(jì)工具報(bào)告建議，不斷迭代優(yōu)化系統(tǒng)，經(jīng)歷了4 個(gè)月。此辦法可封堵開(kāi)發(fā)階段大部分常規(guī)漏洞和業(yè)務(wù)邏輯漏洞，比如某內(nèi)部電信業(yè)務(wù)辦理系統(tǒng)，包含APP 和服務(wù)端系統(tǒng)，如圖1所示，從最初的缺陷數(shù)總量變化2 393 個(gè)到323 個(gè)，缺陷數(shù)壓降87%，效果明顯。經(jīng)過(guò)仔細(xì)分析發(fā)現(xiàn)，剩下的大多屬于誤報(bào)，結(jié)合實(shí)際情況無(wú)需進(jìn)行整改。

圖1 安全左移，靜態(tài)源碼審計(jì)缺陷數(shù)變化

使用電信集團(tuán)內(nèi)部云道安全中心提供的靜態(tài)源碼審計(jì)工具，針對(duì)源代碼項(xiàng)目和打包生成后應(yīng)用進(jìn)行靜態(tài)掃描，結(jié)合語(yǔ)義和正則匹配調(diào)用，發(fā)現(xiàn)脆弱性源碼和配置文件。

人工CodeReview，每項(xiàng)目指派2 名高級(jí)開(kāi)發(fā)工程師定期針對(duì)新提交的git 倉(cāng)庫(kù)源碼進(jìn)行人工代碼審計(jì)，彌補(bǔ)靜態(tài)審計(jì)工具不足。

4.2 加強(qiáng)源碼保護(hù)

針 對(duì) APP 內(nèi) 原 生 代 碼 采 用 OLLVM（Obfuscator-LLVM 是瑞士西北應(yīng)用科技大學(xué)安全實(shí)驗(yàn)室于2010 年6 月份發(fā)起的一個(gè)針對(duì)LLVM 的代碼混淆工具，增加對(duì)逆向工程的難度）進(jìn)行混淆保護(hù)，提高反編譯后代碼審計(jì)難度。

現(xiàn)在公司APP 開(kāi)發(fā)主要有原生APP 開(kāi)發(fā)技術(shù)、混合開(kāi)發(fā)Hybrid App 技術(shù)（結(jié)合原生APP 和WEB 技術(shù)開(kāi)發(fā)的混合技術(shù)開(kāi)發(fā)的APP），重慶電信內(nèi)部IT 系統(tǒng)也有多款應(yīng)用采用了混合技術(shù)進(jìn)行開(kāi)發(fā)。針對(duì)Hybrid App 技術(shù)，筆者們創(chuàng)新性地對(duì)JavaScript 代碼部分也進(jìn)行混淆加密保護(hù)。采用JS 加密技術(shù)可最大化地保護(hù)前端邏輯和秘鑰，加大前端審計(jì)難度，提高前端代碼安全性。如采用商業(yè)收費(fèi)技術(shù)——瑞數(shù)JS 加密，或者免費(fèi)的jsjiami 網(wǎng)提供技術(shù)。為了控制成本，在研發(fā)中心內(nèi)部，筆者們采用免費(fèi)的jsjiami 網(wǎng)的JS 加密功能。

JS 加密前：(function(w,d){alert(” 我是加密前的彈窗” );})(window,document);

JS 加密后：備注：因加密混淆后數(shù)據(jù)填充導(dǎo)致代碼變成，此處為節(jié)選部分加密后的代碼。JS 加密后效果（源碼）如圖2 所示。

圖2 JS 加密后效果（源碼）

var

_0xodW=” jsjiami.com.v6” ,_0x50cf=[_0xodW,” MS3Dszk=” ,” I8O0wpM7wpY=” ,” HMOQa8KOVA==” ,” w4Zzw7XCiQ==” ,” fcKSKsOpUA==” ,” w4DDnhwAwq0=” ,” wqsTw5XDgnc=” ,” w7HDiA0HwrI=” ,” w7jCr0PDng==” ,” w5XDhg3CpGo=” ,” XMOcw5xS” ,” TmNRPz8=” ,” fE8fwp1I” ,” w6zCt8K1eUo=” ,” w6hPREE=” ,” w5fDgQIFwppMw7Y=” ,” w6MYwqk8Ug==” ,” wpgHYhFVZEVWwqo=” ,” fcKrBcKawqzCvsKP” ,” UsKxa BpC” ,” QcKxBMOow4c=” ,” e0DCg8OaFA==” ,” PMKRw5pz w67DmnkWZA==” ,” w7/CmsKNY34=” ,” UmPDl21s” ,” Gmt ZwqgiAA==” ,” w4MTw6PDlkZjw5Y=” ,” KsKQw5Blw6fDn 3I=” ,” fMKgDcO/w6Y=” ,” Y8KGHsOOw5E=” ,” BcKRwonC mg==” ,” asK2CsKKwqY=” ,” w7ZAUEA=” ,” I0BcAsOq” ,” LM KNw4x5w7o=” ,” PTvDuSgwBcKsc8K1” ,” w555w6E=” ,” w6c hwq05aA==” ,” wpwPcRhc” ,” QsKgBsOw” ,” VmjDmktLVg4=” ,” OWt4w4srwqsMV8OG” ,” wrJQa8KW” ,” QEbCo8OnMA==” ,” wo4hVMKqwoo=” ,” cRI2w40w” ,” HxnDtR0H” ,” wrU6Vyx P” ,” US86w6gJw4RiLcKgwoTDoW/DrMK1QhQgw5xswo Q8worCuA==”

加密JS 運(yùn)行結(jié)果如圖3 所示。

圖3 JS 加密后運(yùn)行結(jié)果

可觀(guān)察到JS 代碼加密前和加密后差距較大，完全隱藏了真實(shí)的業(yè)務(wù)邏輯，并可正常運(yùn)行。

完整APP 再次進(jìn)行加固，保證APP 整體安全。國(guó)內(nèi)主流第三方廠(chǎng)家如梆梆安全、愛(ài)加密、360 加固等都提供APP 加固產(chǎn)品。APP 加固可防止泄露敏感配置信息和其他業(yè)務(wù)邏輯代碼信息，是一道源碼保護(hù)的最終防線(xiàn)。APP 加固增大反編譯APP 難度，將大部分攻擊者拒之門(mén)外。重慶電信APP 同時(shí)采用了愛(ài)加密和梆梆加密，不同業(yè)務(wù)采用不同的加密規(guī)則。

如圖4 所示APP 經(jīng)過(guò)加固后隱藏了真實(shí)源代碼，反編譯后無(wú)法查看。隨著加固引擎的升級(jí)，脫殼難度越來(lái)越大[2]。

圖4 APP 加固后反編譯結(jié)果

4.3 （動(dòng)態(tài)運(yùn)行檢測(cè)）時(shí)刻檢測(cè)APP 運(yùn)行環(huán)境安全性

我們?cè)贏(yíng)PP 運(yùn)行時(shí)，activity 動(dòng)態(tài)切換時(shí)刻，持續(xù)檢測(cè)APP 是否運(yùn)行在虛擬機(jī)中，比如檢測(cè)夜神模擬器、網(wǎng)易MuMu 模擬器等常見(jiàn)國(guó)內(nèi)外模擬器環(huán)境。我們?cè)陂_(kāi)發(fā)側(cè)加入了如下前置檢測(cè)代碼，一旦檢測(cè)到存在虛擬機(jī)內(nèi)運(yùn)行特征自動(dòng)閃退并推送設(shè)備環(huán)境等信息到APP 服務(wù)端，聯(lián)動(dòng)風(fēng)控產(chǎn)生告警，人工跟蹤復(fù)核是否惡意攻擊。

檢測(cè)APP 運(yùn)行環(huán)境中是否存在ROOT 權(quán)限，存在ROOT 權(quán)限的環(huán)境往往不安全，現(xiàn)在各大廠(chǎng)商禁止解鎖BootLoaderh 和ROOT 設(shè)備，就是為了提高設(shè)備安全性。因此當(dāng)檢測(cè)到ROOT 環(huán)境后，自動(dòng)閃退并推送設(shè)備環(huán)境等信息到APP 服務(wù)端，聯(lián)動(dòng)風(fēng)控產(chǎn)生告警，人工跟蹤復(fù)核是否惡意攻擊。

檢測(cè)APP 是否存在關(guān)鍵HOOK 函數(shù)，加入了XPOSED、Frida HOOK 檢測(cè)，若被HOOK 應(yīng)自動(dòng)閃退并推送設(shè)備環(huán)境等信息到APP 服務(wù)端，聯(lián)動(dòng)風(fēng)控產(chǎn)生告警，人工跟蹤復(fù)核是否惡意攻擊。

檢測(cè)APP 是否存在流量代理和VPN 代理，存在VPN 代理和流量代理（前端開(kāi)發(fā)加入了流量端口轉(zhuǎn)發(fā)、VPN 環(huán)境檢測(cè)），說(shuō)明該APP 大概率正被抓包中或者中間人攻擊監(jiān)聽(tīng)，風(fēng)險(xiǎn)較大。因此需要自動(dòng)閃退并推送設(shè)備環(huán)境等信息到APP 服務(wù)端，聯(lián)動(dòng)風(fēng)控產(chǎn)生告警，人工跟蹤復(fù)核是否惡意攻擊。

4.4 （動(dòng)態(tài)運(yùn)行防護(hù)）接入WAF 系統(tǒng)，保障服務(wù)安全

WAF（WEB 應(yīng)用防火墻）可保證WEB 服務(wù)安全，比如被惡意探測(cè)、SQL 注入、命令執(zhí)行和目錄掃描等。WAF 規(guī)則時(shí)刻更新，預(yù)防CVE 以及0 Day 漏洞來(lái)襲，第一時(shí)間降低產(chǎn)品風(fēng)險(xiǎn)。WAF 可采用開(kāi)源自建和第三方購(gòu)買(mǎi)WAF（軟件WAF、硬件WAF、云WAF）。

開(kāi)源自建WAF，比如ModSecurity、FreeWAF、VeryNginx、 Naxsi 等開(kāi)源產(chǎn)品，再基于此進(jìn)行訪(fǎng)問(wèn)規(guī)制更新，當(dāng)互聯(lián)網(wǎng)上出現(xiàn)新漏洞時(shí)候，根據(jù)對(duì)應(yīng)特征進(jìn)行配置攔截。

安全廠(chǎng)家的商業(yè)WAF。目前主流廠(chǎng)家WAF 比如阿里云WAF、綠盟WAF、中國(guó)電信安全幫WAF、啟明星辰均可提供較為成熟的保護(hù)?，F(xiàn)在WAF 采用方案是結(jié)合傳統(tǒng)攻擊特征進(jìn)行正則匹配+機(jī)器學(xué)習(xí)算法共同研判攻擊行為。商業(yè)WAF 產(chǎn)品與威脅情報(bào)、DDoS防御、Bot 防護(hù)、CDN 等常用產(chǎn)品或功能組件的緊密協(xié)同能夠幫助企業(yè)打造針對(duì)Web 應(yīng)用的更為主動(dòng)的防護(hù)體系[3]。

大多數(shù)WAF 都是基于規(guī)則的WAF。其原理是每一個(gè)會(huì)話(huà)都要經(jīng)過(guò)一系列的測(cè)試，每一項(xiàng)測(cè)試都由一個(gè)過(guò)多個(gè)檢測(cè)規(guī)則組成，如果測(cè)試沒(méi)通過(guò)，請(qǐng)求就會(huì)被認(rèn)為非法并拒絕。帶機(jī)器學(xué)習(xí)功能的新WAF 可以學(xué)習(xí)未知風(fēng)險(xiǎn)。通過(guò)一段時(shí)間的用戶(hù)訪(fǎng)問(wèn)，WAF 記錄了常用網(wǎng)頁(yè)的訪(fǎng)問(wèn)模式，如一個(gè)網(wǎng)頁(yè)中有幾個(gè)輸入點(diǎn)，輸入的是什么類(lèi)型的內(nèi)容，通常情況的長(zhǎng)度是多少……學(xué)習(xí)完畢后，定義出一個(gè)網(wǎng)頁(yè)的正常使用模式，當(dāng)今后有用戶(hù)突破了這個(gè)模式，如一般的賬號(hào)輸入不應(yīng)該有特殊字符，而XML 注入時(shí)需要有“<”之類(lèi)的語(yǔ)言標(biāo)記，WAF 就會(huì)根據(jù)你預(yù)先定義的方式預(yù)警或阻斷；再如密碼長(zhǎng)度一般不超過(guò)20 位，在SQL 注入時(shí)加入代碼會(huì)很長(zhǎng)，同樣突破了網(wǎng)頁(yè)訪(fǎng)問(wèn)的模式，因而被WAF 判斷為惡意攻擊進(jìn)行攔截。防護(hù)主旨是“不符合我的常規(guī)就是異常的”，也是入侵檢測(cè)技術(shù)的一種，比起單純的Web 防火墻來(lái)，不僅給入侵者“下通緝令”，而且建立進(jìn)入自家的內(nèi)部“規(guī)矩”，這一種雙向的控制，顯然比單向的要好[4]。

內(nèi)部同時(shí)采用了云WAF 和自建WAF，云WAF 由SOC 部門(mén)統(tǒng)一采購(gòu)，為了避免誤傷，規(guī)則較大，因此在近源端自建WAF，基于開(kāi)源WAF 自編規(guī)則，結(jié)合業(yè)務(wù)寫(xiě)規(guī)則。下面是測(cè)試環(huán)境驗(yàn)證WAF 效果，對(duì)探測(cè)性行為也進(jìn)行了攔截。

訪(fǎng)問(wèn)http://10.236.17.1/index?id=1，正常返回。如圖5 所示。

圖5 正常訪(fǎng)問(wèn)

訪(fǎng)問(wèn)http://10.236.17.1/index?id=1 or 1=1，被WAF攔截，阻止攻擊。如圖6 所示。

圖6 異常

4.5 接入EDR，保護(hù)主機(jī)安全

EDR（終端安全響應(yīng)系統(tǒng)）可實(shí)時(shí)監(jiān)測(cè)服務(wù)器網(wǎng)絡(luò)連接、數(shù)據(jù)傳輸、服務(wù)器運(yùn)行狀態(tài)、文件生成、內(nèi)存空間是否異常，當(dāng)檢測(cè)出異常后及時(shí)防阻斷隔離文件或者進(jìn)程。EDR 可用于攻擊者突破前面所有防御，已經(jīng)著手滲透服務(wù)器，或者進(jìn)行內(nèi)網(wǎng)橫向移動(dòng)時(shí)候，及時(shí)監(jiān)測(cè)防御，降低攻擊影響。

重慶電信內(nèi)部同時(shí)采用了業(yè)內(nèi)多款服務(wù)器安全終端，同時(shí)接入了電信集團(tuán)安全agent，實(shí)現(xiàn)集資產(chǎn)發(fā)現(xiàn)、基線(xiàn)采集、漏洞掃描、流量探測(cè)、主機(jī)隔離等功能于一體。EDR 終端檢測(cè)模型如圖7 所示。

圖7 EDR 終端檢測(cè)模型

資產(chǎn)發(fā)現(xiàn)：定期通過(guò)主動(dòng)掃描、被動(dòng)發(fā)現(xiàn)、手工錄入和人工排查等多種方法收集當(dāng)前網(wǎng)絡(luò)中所有軟硬件資產(chǎn)，包括全網(wǎng)所有的端點(diǎn)資產(chǎn)和在用的軟件名稱(chēng)、版本，確保整個(gè)網(wǎng)絡(luò)中沒(méi)有安全盲點(diǎn)。

系統(tǒng)加固：定期進(jìn)行漏洞掃描、補(bǔ)丁修復(fù)、安全策略設(shè)置和更新端點(diǎn)軟件清單，通過(guò)軟件白名單限制未經(jīng)授權(quán)的軟件運(yùn)行，通過(guò)主機(jī)防火墻限制未經(jīng)授權(quán)的服務(wù)端口開(kāi)放，并定期檢查和清理內(nèi)部人員的賬號(hào)和授權(quán)信息。

威脅檢測(cè)：通過(guò)端點(diǎn)本地的主機(jī)入侵檢測(cè)和借助云端威脅情報(bào)、異常行為分析、攻擊指示器等方式，針對(duì)各類(lèi)安全威脅，在其發(fā)生前、發(fā)生中、發(fā)生后進(jìn)行相應(yīng)的安全檢測(cè)動(dòng)作。

響應(yīng)取證：針對(duì)全網(wǎng)的安全威脅進(jìn)行可視化展示，能夠針對(duì)安全威脅自動(dòng)化地進(jìn)行隔離、修復(fù)和補(bǔ)救，自動(dòng)完成安全威脅的調(diào)查、分析和取證工作，降低事件響應(yīng)和取證分析的技術(shù)門(mén)檻，不需要依賴(lài)于外部專(zhuān)家即可完成快速響應(yīng)和取證分析。

5 結(jié)束語(yǔ)

本文主要介紹了當(dāng)前APP 面臨的各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、常用滲透測(cè)試和漏洞掃描攻擊技術(shù)，并分析了常見(jiàn)網(wǎng)絡(luò)安全防御技術(shù)以及常見(jiàn)防御技術(shù)存在的缺點(diǎn)，最后在重慶電信企業(yè)內(nèi)部以常規(guī)方案為基礎(chǔ)，采用五步方案對(duì)縱深防御的新型防御綜合方案進(jìn)行了探索與實(shí)踐。詳細(xì)介紹了從黑客（攻擊者、安全檢測(cè)者）攻擊到基本防御，再到縱深防御的方案研究。在建設(shè)過(guò)程中，從適當(dāng)?shù)倪M(jìn)行安全左移，在開(kāi)發(fā)側(cè)做大量的安全工作，通過(guò)源代碼審計(jì)、加強(qiáng)源碼保護(hù)（JS 加固、APP加固）、檢測(cè)APP 運(yùn)行環(huán)境安全、接入WAF 系統(tǒng)，保障服務(wù)安全、接入EDR，保護(hù)主機(jī)安全共5 個(gè)方向全方位保障業(yè)務(wù)系統(tǒng)安全，打造牢固的IT 系統(tǒng)安全堡壘，且該縱深防御方案易于復(fù)制，可大規(guī)模推廣。