移动应用安全(预订中,估价)

.1.2 移动应用安全开发中的技巧9
1.2.1 应用tls/ssl9
1.2.2 遵循安全编程实践10
1.2.3 对输入进行验证10
1.2.4 应用os提供的控制模型10
1.2.5 应用系统访问的最小权限模型11
1.2.6 恰当地存储敏感信息11
1.2.7 对应用代码进行签名11
1.2.8 设计安全和健壮的升级过程12
1.2.9 理解移动浏览器的安全功能和局限性12
1.2.10 清除非威胁因素12
1.2.11 应用安全/直观的移动url13
1.3 小结13
第2章 android平台安全15
2.1 android开发和调试16
2.2 android安全的ipc机制19
2.2.1 活动（activity）19
2.2.2 广播（broadcast）19
2.2.3 服务（service）19
2.2.4 内容提供器（contentprovider）20
2.2.5 binder20
2.3 android安全模型20
2.4 android控制模型小结21
2.5 创建新的manifest权限控制文件25
2.6 intent25
2.6.1 intent概述26
2.6.2 intentfilter26
2.7 activity27
2.8 broadcast29
2.8.1 接收广播intent30
2.8.2 安全地发送广播intent30
2.8.3 sticky broadcast31
2.9 service31
2.10 contentprovider32
2.11 避免sql注入34
2.12 intent reflection35
2.13 文件和优先选项35
2.14 大容量存储36
2.15 binder接口37
2.15.1 调用者权限或者身份检查实现安全38
2.15.2 binder引用安全38
2.16 android 安全工具39
2.16.1 manifest浏览器39
2.16.2 package play40
2.16.3 intent sniffer40
2.16.4 intent fuzzer42
2.17 小结42
第3章 iphone平台安全44
3.1 历史44
3.1.1 iphone和os x45
3.1.2 “越狱”与“反越狱”45
3.1.3 iphone sdk46
3.1.4 未来发展46
3.2 开发46
3.2.1 反编译和反汇编47
3.2.2 避免逆向工程50
3.3 安全测试50
3.3.1 缓冲区溢出50
3.3.2 整数溢出51
3.3.3 格式化字符串攻击51
3.3.4 双重释放（double-free）53
3.3.5 静态分析54
3.4 应用程序格式55
3.4.1 编译和打包55
3.4.2 分发：apple store55
3.4.3 代码签名56
3.4.4 执行未经签名的代码56
3.5 权限及用户控制57
3.5.1 沙箱57
3.5.2 exploit mitigation58
3.5.3 权限58
3.6 本地数据存储：文件、权限和加密59
3.6.1 sqlite 存储59
3.6.2 iphone keychain存储60
3.6.3 共享keychain存储61
3.6.4 向证书存储中添加证书61
3.6.5 获取entropy62
3.7 网络63
3.7.1 url装载api63
3.7.2 nsstream64
3.7.3 p2p64
3.8 push 通知，复制/粘贴以及其他ipc65
3.8.1 push通知66
3.8.2 uipasteboard66
3.9 小结67
第4章 windows mobile的安全性68
4.1 平台介绍68
4.1.1 与windows ce的关系69
4.1.2 设备结构69
4.1.3 设备存储71
4.2 内核构架71
4.2.1 内存管理72
4.2.2 windows ce进程73
4.2.3 服务74
4.2.4 对象74
4.2.5 内核模式和用户模式76
4.3 开发及安全测试77
4.3.1 编码环境和sdk77
4.3.2 模拟器78
4.3.3 调试81
4.3.4 反汇编83
4.3.5 代码安全86
4.3.6 应用程序打包和分发89
4.4 权限与用户控制91
4.4.1 特权模式和普通模式91
4.4.2 验证码、签名和证书92
4.4.3 运行中的应用程序94
4.4.4 锁定设备95
4.4.5 管理设备安全策略96
4.5 本地数据存储97
4.5.1 文件和权限97
4.5.2 设备失窃保护98
4.5.3 结构化存储99
4.5.4 加密和设备安全存储99
4.6 组网100
4.6.1 连接管理器100
4.6.2 winsock101
4.6.3 红外线101
4.6.4 蓝牙101
4.6.5 http和ssl101
4.7 小结102
第5章 黑莓手机的安全性103
5.1 平台简介103
5.1.1 黑莓企业服务器（bes）104
5.1.2 黑莓的互联网服务（bis）105
5.2 设备和操作系统结构105
5.3 开发及安全测试106
5.3.1 编码环境106
5.3.2 模拟器107
5.3.3 调试108
5.3.4 反汇编109
5.3.5 代码安全111
5.3.6 应用程序打包和分发112
5.4 权限与用户控制113
5.4.1 rim的可控api114
5.4.2 运营商和midlet签名118
5.4.3 对midp应用程序中的权限错误的处理119
5.4.4 锁定设备119
5.4.5 应用程序权限管理120
5.5 本地数据存储120
5.5.1 文件和权限120
5.5.2 可编程文件系统访问121
5.5.3 结构化存储122
5.5.4 加密和设备安全存储122
5.6 组网124
5.6.1 设备防火墙124
5.6.2 ssl和wtls125
5.7 小结125
第6章 java移动版的安全性126
6.1 标准开发126
6.2 配置、profile和jsr127
6.2.1 配置128
6.2.2 profile128
6.2.3 可选包130
6.3 开发和安全测试130
6.3.1 配置开发环境并安装新平台131
6.3.2 模拟器133
6.3.3 逆向工程和调试134
6.3.4 代码安全139
6.3.5 应用程序打包和分发141
6.4 权限和用户控件145
6.4.1 数据访问148
6.5 小结149
第7章 塞班系统（symbianos）安全性150
7.1 平台介绍150
7.1.1 设备架构151
7.1.2 设备存储器152
7.2 开发和安全测试153
7.2.1 开发环境153
7.2.2 软件开发工具155
7.2.3 模拟器155
7.2.4 调试156
7.2.5 ida pro157
7.3 代码安全158
7.3.1 symbian c++158
7.3.2 p.i.p.s和openc164
7.4 应用程序包165
7.4.1 可执行的镜像格式165
7.4.2 安装包167
7.4.3 签名168
7.4.4 塞班签名169
7.4.5 安装170
7.5 权限和用户控制171
7.5.1 功能概述171
7.5.2 可执行映像功能173
7.5.3 进程功能173
7.5.4 进程间的功能173
7.6 进程间通信174
7.6.1 客户端/服务器会话174
7.6.2 共享会话179
7.6.3 共享句柄179
7.7 永久的数据存储180
7.7.1 文件存储180
7.7.2 结构化存储181
7.7.3 加密存储182
7.8 小结184
第8章 webos安全186
8.1 平台简介186
8.1.1 webos系统结构187
8.1.2 模型视图控制器（mvc）189
8.1.3 stage与scene，assistant与view190
8.2 开发和安全测试191
8.2.1 开发模式191
8.2.2 访问linux192
8.2.3 模拟器192
8.2.4 调试和反汇编193
8.3 代码安全195
8.3.1 脚本注入196
8.3.2 直接执行196
8.3.3 编程数据注入198
8.3.4 模板注入200
8.3.5 本地数据注入201
8.3.6 应用程序打包204
8.4 权限和用户控制204
8.4.1 存储205
8.4.2 网络207
8.5 小结207
第2部分 移动服务
第9章 wap和移动html安全210
9.1 wap和移动html基础211
9.2 wap/移动html网站上的认证212
9.3 加密214
9.3.1 wap 1.0215
9.3.2 ssl和wap 2.0216
9.4 移动html网站上的应用层攻击216
9.4.1 跨站脚本攻击217
9.4.2 sql注入220
9.4.3 csrf攻击222
9.4.4 http重定向225
9.4.5 钓鱼攻击226
9.4.6 会话伪造227
9.4.7 非ssl登录228
9.5 wap和移动浏览器的不足228
9.5.1 缺乏httponly标签的支持228
9.5.2 缺乏secure标签的支持228
9.5.3 浏览器缓存处理229
9.5.4 wap不足229
9.6 小结229
第10章 蓝牙安全231
10.1 蓝牙技术概览231
10.1.1 历史及标准231
10.1.2 常见用途232
10.1.3 其他类似方式232
10.1.4 未来发展234
10.2 蓝牙技术架构234
10.2.1 radio operation和频率234
10.2.2 蓝牙网络拓扑235
10.2.3 设备识别235
10.2.4 运行模式236
10.2.5 蓝牙分层模型236
10.2.6 蓝牙profile237
10.3 蓝牙安全功能238
10.3.1 配对239
10.3.2 蓝牙传统安全服务240
10.3.3 非功能性安全243
10.4 蓝牙设备和网络的威胁244
10.5 蓝牙漏洞245
10.5.1 蓝牙v1.2之前的版本245
10.5.2 蓝牙v2.1之前的版本245
10.5.3 所有版本245
10.6 建议246
第11章 短信安全247
11.1 短消息服务概览248
11.2 多媒体消息概览251
11.3 协议攻击253
11.3.1 滥用合法功能255
11.3.2 协议攻击的实现264
11.4 应用攻击266
11.4.1 iphone safari267
11.4.2 windows mobile mms268
11.4.3 motorola razr jpg溢出268
11.5 安全演练269
11.5.1 发送pdu269
11.5.2 xml转换为wbxml271
11.6 结论271
第12章 移动地理定位272
12.1 地理定位方法272
12.1.1 基站三角定位272
12.1.2 gps定位273
12.1.3 802.11274
12.2 地理定位实现274
12.2.1 android274
12.2.2 iphone276
12.2.3 windows mobile276
12.2.4 symbian277
12.2.5 blackberry277
12.3 地理定位服务的风险278
12.3.1 最终用户的风险278
12.3.2 服务提供商的风险279
12.4 地理定位最佳实践280
第13章 企业安全282
13.1 设备安全选项283
13.1.1 pin码283
13.1.2 远程删除284
13.2 本地存储安全285
13.2.1 apple iphone以及keychain机制285
13.3 安全策略实施286
13.4 加密287
13.4.1 全盘加密288
13.4.2 邮件加密288
13.4.3 文件加密289
13.5 应用沙箱、签名及许可289
13.5.1 应用程序沙箱290
13.5.2 应用程序签名291
13.5.3 权限控制293
13.6 缓冲区溢出保护294
13.6.1 windows mobile294
13.6.2 iphone295
13.6.3 android295
13.6.4 blackberry296
13.7 安全功能汇总296
13.8 结论297
第3部分 附录
附录a 移动恶意软件300
a.1 历史重要恶意软件介绍301
a.1.1 cabir301
a.1.2 commwarrior301
a.1.3 beselo.b301
a.1.4 trojan.redbrowser.a302
a.1.5 wince/brador.a302
a.1.6 wince/infojack302
a.1.7 sms.python.flocker302
a.1.8 yxes.a303
a.1.9 其他303
a.2 威胁场景303
a.2.1 假冒固件303
a.2.2 典型木马304
a.2.3 蠕虫304
a.2.4 勒索软件304
a.3 减少移动恶意软件的破坏305
a.3.1 终端用户305
a.3.2 开发人员以及平台供货商305
附录b 移动安全渗透测试工具307
b.1 移动平台攻击工具307
b.1.1 manifest explorer307
b.1.2 package play308
b.1.3 intent sniffer309
b.1.4 intent fuzzer309
b.1.5 pysimreader311
b.2 浏览器扩展311
b.2.1 wmlbrowser311
b.2.2 user agent switcher311
b.2.3 foxyproxy312
b.2.4 tamperdata313
b.2.5 live http headers313
b.2.6 web developer314
b.2.7 firebug314
b.3 网络工具315
b.3.1 wireshark315
b.3.2 tcpdump316
b.3.3 scapy317
b.4 web应用工具317
b.4.1 webscarab318
b.4.2 gizmo319
b.5 fuzzing框架319
b.5.1 peach320
b.5.2 sulley320
b.6 通用工具320
b.6.1 hachoir320
b.6.2 vbindiff321