移動(dòng)端產(chǎn)品安全框架介紹_第1頁(yè)
移動(dòng)端產(chǎn)品安全框架介紹_第2頁(yè)
移動(dòng)端產(chǎn)品安全框架介紹_第3頁(yè)
移動(dòng)端產(chǎn)品安全框架介紹_第4頁(yè)
移動(dòng)端產(chǎn)品安全框架介紹_第5頁(yè)
已閱讀5頁(yè),還剩56頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、移動(dòng)端產(chǎn)品安全框架介紹技術(shù)創(chuàng)新 變革未來(lái)移動(dòng)端產(chǎn)品安全現(xiàn)狀誰(shuí)知道?移動(dòng)端產(chǎn)品安全現(xiàn)狀歷史安全問(wèn)題?主要議題移動(dòng)端產(chǎn)品安全保障數(shù)據(jù)安全Acitvity組件安全、Webview代碼執(zhí)行漏洞、明文存儲(chǔ)、模版交互、隱私數(shù)據(jù)、核心算法保護(hù)開(kāi)發(fā)安全安全意識(shí)、環(huán)境和測(cè)試安全、第三方SDK安全開(kāi)發(fā)業(yè)務(wù)及接口安全輸入與輸出、驗(yàn)證與授權(quán)、核心接口保護(hù)安全運(yùn)維配置錯(cuò)誤、匿名、弱口令安全工具漏洞智能檢測(cè)移動(dòng)端產(chǎn)品最佳實(shí)踐數(shù)據(jù)安全Acitvity組件安全Webview代碼執(zhí)行漏洞明文存儲(chǔ)模版交互隱私數(shù)據(jù)核心算法保護(hù)Acitvity組件安全默認(rèn)發(fā)布android:exported=false 私有Activity不應(yīng)被其

2、他應(yīng)用啟動(dòng)Acitvity組件安全Acitvity組件安全當(dāng)Activity返回?cái)?shù)據(jù)時(shí)候需注意目標(biāo)Activity是否有泄露信息的風(fēng)險(xiǎn)?驗(yàn)證目標(biāo)Activity是否惡意app,規(guī)避受到intent欺騙,可 用hash簽名驗(yàn)證。簽名驗(yàn)證內(nèi)部(in-house)appWebview代碼執(zhí)行漏洞明文存儲(chǔ)明文存儲(chǔ)模版交互交互參數(shù)過(guò)濾模版交互隱私數(shù)據(jù)打碼模糊核心算法保護(hù)算法強(qiáng)度核心算法保護(hù)重要參數(shù)老版本泄露反編譯帳號(hào)密碼加密密鑰核心算法開(kāi)發(fā)安全安全意識(shí)專(zhuān)業(yè)知識(shí)開(kāi)發(fā)環(huán)境測(cè)試環(huán)境SDK調(diào)用安全開(kāi)發(fā)人員環(huán)境第三方開(kāi)發(fā)人員安全意識(shí)規(guī)范分享源代碼開(kāi)發(fā)人員安全意識(shí)保護(hù)帳號(hào)和密碼開(kāi)發(fā)環(huán)境和測(cè)試環(huán)境開(kāi)發(fā)工具和代碼包來(lái)源

3、的安全性第三方SDK安全開(kāi)發(fā)百度WormHole蟲(chóng)洞漏洞開(kāi)放40310端口無(wú)驗(yàn)證授權(quán)高權(quán)限操作業(yè)務(wù)及接口安全數(shù)據(jù)庫(kù)操作【Sql注入】文件操作【上傳 下載】輸入與輸出【xss】驗(yàn)證與授權(quán)【CSRF、登陸】核心接口保護(hù)Sql注入Web應(yīng)用程序在操作數(shù)據(jù)庫(kù)的Sql語(yǔ)句中插入了用戶(hù)可控的 變量,導(dǎo)致可以通過(guò)可控變量組合Sql執(zhí)行語(yǔ)句惡意操作數(shù) 據(jù)庫(kù)。Sql注入漏洞searchStr參數(shù)存在注入可直接操作數(shù)據(jù)庫(kù)Sql注入 - 推薦修復(fù)代碼實(shí)例String username = “admin or 1=1-”;String password = “foo”Statements s = connection

4、.prepareStatement(“select * fromusers where username = ? And password = ?”)s.setString(1,username);S.setString(2,password);Sql注入 安全性增強(qiáng)數(shù)據(jù)庫(kù)連接帳號(hào)權(quán)限對(duì)用戶(hù)輸入驗(yàn)證數(shù)據(jù)類(lèi)型檢驗(yàn)使用數(shù)據(jù)先檢驗(yàn)文件操作Java.IO.FileInputStreamJava.io.FileOutputStreamJava.io.FileReaderJava.io.fileWriter/./././文件上傳 文件名繞過(guò)文件下載XSSWeb網(wǎng)頁(yè)里輸出內(nèi)容包含用戶(hù)可控制的內(nèi)容,導(dǎo)致嵌入的

5、惡意代碼得到執(zhí)行而進(jìn)行攻擊。XSS-常見(jiàn)漏洞數(shù)據(jù)交互的地方Get Post Cookies Headers反饋與留言富文本編輯各類(lèi)標(biāo)簽插入和自定義數(shù)據(jù)輸出的地方用戶(hù)資料關(guān)鍵詞,標(biāo)簽,說(shuō)明文件上傳XSS-常見(jiàn)地方XSS-常見(jiàn)漏洞留言處常見(jiàn)XSS漏洞附件名處XSS-推薦修復(fù)), 轉(zhuǎn)義(1html以下(2)type(3)(4)(5)html 轉(zhuǎn) 義 : entities(string,quotestyle,character-set 字符 “返回Json數(shù)據(jù)時(shí),設(shè)置頁(yè)面content-:application/json,需要json_encode在js中innerHTML需要htmlencode。在

6、cookie啟用httponly屬性。富文本編輯器過(guò)濾,建議使用白名單。CSRF攻擊者通過(guò)調(diào)用第三方網(wǎng)站的惡意腳本或者利用程序來(lái)偽造請(qǐng)求。利用用戶(hù)的瀏覽器向攻擊的應(yīng)用程 序提交一個(gè)已經(jīng)預(yù)測(cè)好請(qǐng)求參數(shù)的 操作數(shù)據(jù)包。利用的實(shí)質(zhì)是截持用戶(hù)的會(huì)話(huà)狀態(tài)。CSRF-瀏覽器本地Cookie攔截IE6/IE7/IE8/Safari發(fā)送FireFox 2/firefox3/Opera/Chrome內(nèi)存Cookie均發(fā)送多標(biāo)簽瀏覽器同一進(jìn)程,內(nèi)存Cookie沒(méi)有清除發(fā)微博處CSRF-推薦修復(fù)驗(yàn)證請(qǐng)求來(lái)路(不允許為空)驗(yàn)證碼一次性令牌驗(yàn)證與授權(quán)任意用戶(hù)登陸漏洞驗(yàn)證與授權(quán)手機(jī)驗(yàn)證碼泄露驗(yàn)證與授權(quán)手機(jī)驗(yàn)證碼暴力破解驗(yàn)

7、證與授權(quán)重要參數(shù)通過(guò)Referer泄露核心接口保護(hù)Json劫持核心接口保護(hù)老舊接口兼容及時(shí)更新統(tǒng)一下線(xiàn)舊接口兼容各個(gè)端移動(dòng)端接口隔離禁止互相調(diào) 用調(diào)用保護(hù)參數(shù)跟蹤次數(shù)限制來(lái)源白名單安全運(yùn)維- 匿名內(nèi)網(wǎng)未授權(quán)訪問(wèn)安全運(yùn)維 配置錯(cuò)誤開(kāi)放權(quán)限安全運(yùn)維 - 弱口令太弱密碼統(tǒng)一密碼admin/123456 test/1234qwer manage/1qazWSX root/123456安全運(yùn)維 密碼保護(hù)密碼選擇 易記不易猜FLZX3000cY4yhx9day飛流直下三千尺,疑似銀河下九天密碼策略大于8位 數(shù)字+字母+特殊符號(hào)組定期更換(三個(gè)月)一個(gè)密碼不能多用安全工具 漏洞智能檢測(cè)最簡(jiǎn)模式 擴(kuò)展插件 細(xì)

8、分精準(zhǔn) 自定義協(xié)議安全工具 ProxyScan基于域名 的檢測(cè)基于Fiddler數(shù) 據(jù)檢測(cè)基于日志 數(shù)據(jù)檢測(cè)安全工具 ProxyScan安全工具 ProxyScan移動(dòng)端產(chǎn)品最佳實(shí)踐培訓(xùn)安全意識(shí) 開(kāi)發(fā)安全 標(biāo)準(zhǔn)規(guī)范需求設(shè)計(jì)實(shí)現(xiàn)驗(yàn)證發(fā)布運(yùn)營(yíng)安全開(kāi)發(fā) 威脅建模 最佳開(kāi)發(fā) 黑盒測(cè)試 上線(xiàn)測(cè)試 安全監(jiān)控 需求縱深防御 實(shí)踐代碼審計(jì) 生產(chǎn)測(cè)試 定期檢測(cè) 安全編碼安全防護(hù) 業(yè)務(wù)測(cè)試 滲透測(cè)試 應(yīng)急響應(yīng)規(guī)范框架安全函數(shù) 應(yīng)用加固移動(dòng)端產(chǎn)品最佳實(shí)踐需求安全開(kāi)發(fā)需 求安全編碼規(guī) 范設(shè)計(jì)威脅建模縱深防御移動(dòng)端產(chǎn)品最佳實(shí)踐實(shí)現(xiàn)最佳開(kāi)發(fā)實(shí)踐安全防護(hù)框架安全函數(shù)應(yīng)用加固驗(yàn)證黑盒測(cè)試代碼審計(jì)業(yè)務(wù)測(cè)試移動(dòng)端產(chǎn)品最佳實(shí)踐發(fā)布上線(xiàn)測(cè)試生產(chǎn)測(cè)試 滲透測(cè)試運(yùn)營(yíng)安全監(jiān)控定期檢測(cè) 應(yīng)急響應(yīng)議題總結(jié)移動(dòng)端產(chǎn)品安全保障數(shù)據(jù)安全Acitvi

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論