业务安全逻辑问题 
年前说得是会更新两篇文章，一篇是《浏览器exp使用经验》，另一篇是《android app安全问题》。第一篇是有更新，第二篇一直也没有更新，在对android app本身安全性有了全面的了解后，觉得似乎没有什么必要来说这个？因为把网络通信这块儿刨开不看，app本身安全问题都比较鸡肋，利用前提是需要通过本地触发，也就是攻击者需要先在受害者手机上安装一个恶意的app，然后再通过这个恶意app去触发其他app的漏洞，可能只有像本地明文存储用户名密码这种漏洞才会对一般app厂商产生点存在感吧，其他情况，大家懂的。
大多数的问题还是在网络通信这一块，和web安全一样，也会存在sql注入、xss、文件上传这种漏洞。当然webview组件的问题，也的确是可以远程触发的，其修复非常简单，更改一下api level就好了。
所以个人觉得，除非是非常非常非常负责的app厂商，app本身所产生的安全问题，存在感都很低。加壳也是，除了工具类app，个人觉得也没啥必要，这点欢迎大家来讨论。
最近半年参与公司对内对外的渗透项目比较多，从基本漏洞发现利用到内网渗透，整个流程也比较熟悉了。这一过程总发现有一类漏洞是比较特别的，那就是：逻辑漏洞。这类漏洞比较隐蔽，扫描器是发现不了的，需要手动仔细分析程序功能。而造成的危害一般也都比较大，直接影响公司业务，比如：越权造成用户财产损失、变更交易金额造成公司直接经济损失等。
最近自己也在整理这一类问题，这里先给个框架，在理解更多的实例之后，再把脑图放出来。

by：会飞的猫
转载请注明:http://www.cnblogs.com/flycat-2016
转载于:https://www.cnblogs.com/flycat-2016/p/6481592.html

　　SaaS的安全问题主要有8个，下文会全方位解读。在此之前，先来聊聊报销管理软件，相信很多人对其都还了解甚少。什么是报销管理软件?所谓报销管理软件，从名字上就能很好的理解，这是用于报销管理的一种软件。
　　SaaS的8个安全问题
　　1、数据安全。在SaaS模式，企业数据存储在SaaS供应商的数据中心。因此，SaaS企业应采取措施保障数据安全，防止由于应用程序漏洞或者恶意特权用户泄漏敏感信息。SaaS的解决方案应该使用强大的密码保护，以确保在数据访问上的控制。所有数据，包括有管理权限的访问，都应该被记录下来，并定期审计。这些检查是至关重要的。
　　2、数据分离。在一个多租户SaaS的部署中，多个企业的数据可能会保存在相同的数据存储位置。因此要保证其中一个用户在进行数据访问时不能访问到其他用户。泄漏敏感的业务计划可能暴露竞争对手的弱点，因为这类数据可能会导致严重的经济损失。SaaS的应用体系结构和数据模型的设计应确保正确的数据隔离。如果SaaS的应用程序部署在一个公开的云供应商那里，则应加强防范措施，以便通过一个应用程序的数据不能访问到其他应用程序。一个第三方SaaS的安全评估是至关重要的，隔离并查明这些数据的安全问题和解决这些问题之后，SaaS才可以更好地被应用。
　　3、SaaS应用程序的安全部署。用户在选择SaaS供应商的解决方案后可以部署使用公共云供应商或SaaS供应商的私有云。然而，这些部署应首先确保其安全性，采用托管SaaS的部署要求卖方提供相关服务(防火墙，入侵检测系统等)来强化其安全性。第三方的SaaS应用程序部署的安全审计也十分必要，这样可以更好地识别任何安全问题或威胁，以确保您的企业数据的安全。
　　4、网络安全。在SaaS的部署模式中，企业和SaaS提供商之间的数据流在传输过程中必须得到保护，以防止敏感信息外泄。SaaS的供应商应使用诸如SSL确保数据在互联网上流动的安全性，或者在SaaS的部署网络中采取加密技术。其他保障措施还包括MITM攻击对网络安全造成的问题，IP欺骗，端口扫描，数据包嗅探等。
　　5、法规遵从风险和法规遵从。在SaaS应用程序的审计中至关重要，通过对是否符合监管标准的评估，有助于确定是否合规问题，并确保正确的业务流程到位。
　　6、可用性。SaaS的应用程序需要支持高可用性，以确保其能够24*7地为企业服务。这涉及到架构设计和基础设施的应用，以使他们能够适应硬件/软件故障以及拒绝服务攻击。此外，适当的业务连续性和灾后恢复计划也需要制订，以确保停机时间最短。
　　7、备份。SaaS企业应确保服务水平协议涵盖安全的备份和恢复服务，在SaaS应用的备份需经过验证，基础设施和云级恢复服务的需要，以促进灾后恢复和减轻对敏感数据的丢失，由于失败的风险。备份的数据应该得到严格保护，如业务数据等就需要使用强大的加密机制。这些检查也是非常必要的，它可以减少未经授权的访问和敏感数据泄漏的风险。
　　8、身份管理和登录。安全身份管理(IDM)和签署组件可以为用户提供服务的帐户处理、密码管理和安全认证。并且可以根据安全方面的挑战不同对身份管理也进行区别对待。一个SaaS供应商可以提供完整的IDM和登录服务。在这种情况下，用户的信息、密码等，都保留在SaaS供应商的网站，因此应该安全地存储和处理。SaaS供应商应该能够保障密码的安全性和企业密码过期政策，并遵守监管要求。
　　看过上文，大家也了解SaaS的8个安全问题了。至于报销管理软件，上面的文章也进行了简单的介绍，总之还是请大家多多留意，因为会对你有所帮助的。

SaaS的安全问题主要有8个，下文会全方位解读。在此之前，先来聊聊报销管理软件，相信很多人对其都还了解甚少。什么是报销管理软件?所谓报销管理软件，从名字上就能很好的理解，这是用于报销管理的一种软件。
　　SaaS的8个安全问题
　　1、数据安全。在SaaS模式，企业数据存储在SaaS供应商的数据中心。因此，SaaS企业应采取措施保障数据安全，防止由于应用程序漏洞或者恶意特权用户泄漏敏感信息。SaaS的解决方案应该使用强大的密码保护，以确保在数据访问上的控制。所有数据，包括有管理权限的访问，都应该被记录下来，并定期审计。这些检查是至关重要的。
　　2、数据分离。在一个多租户SaaS的部署中，多个企业的数据可能会保存在相同的数据存储位置。因此要保证其中一个用户在进行数据访问时不能访问到其他用户。泄漏敏感的业务计划可能暴露竞争对手的弱点，因为这类数据可能会导致严重的经济损失。SaaS的应用体系结构和数据模型的设计应确保正确的数据隔离。如果SaaS的应用程序部署在一个公开的云供应商那里，则应加强防范措施，以便通过一个应用程序的数据不能访问到其他应用程序。一个第三方SaaS的安全评估是至关重要的，隔离并查明这些数据的安全问题和解决这些问题之后，SaaS才可以更好地被应用。
　　3、SaaS应用程序的安全部署。用户在选择SaaS供应商的解决方案后可以部署使用公共云供应商或SaaS供应商的私有云。然而，这些部署应首先确保其安全性，采用托管SaaS的部署要求卖方提供相关服务(防火墙，入侵检测系统等)来强化其安全性。第三方的SaaS应用程序部署的安全审计也十分必要，这样可以更好地识别任何安全问题或威胁，以确保您的企业数据的安全。
　　4、网络安全。在SaaS的部署模式中，企业和SaaS提供商之间的数据流在传输过程中必须得到保护，以防止敏感信息外泄。SaaS的供应商应使用诸如SSL确保数据在互联网上流动的安全性，或者在SaaS的部署网络中采取加密技术。其他保障措施还包括MITM攻击对网络安全造成的问题，IP欺骗，端口扫描，数据包嗅探等。
　　5、法规遵从风险和法规遵从。在SaaS应用程序的审计中至关重要，通过对是否符合监管标准的评估，有助于确定是否合规问题，并确保正确的业务流程到位。
　　6、可用性。SaaS的应用程序需要支持高可用性，以确保其能够24*7地为企业服务。这涉及到架构设计和基础设施的应用，以使他们能够适应硬件/软件故障以及拒绝服务攻击。此外，适当的业务连续性和灾后恢复计划也需要制订，以确保停机时间最短。
　　7、备份。SaaS企业应确保服务水平协议涵盖安全的备份和恢复服务，在SaaS应用的备份需经过验证，基础设施和云级恢复服务的需要，以促进灾后恢复和减轻对敏感数据的丢失，由于失败的风险。备份的数据应该得到严格保护，如业务数据等就需要使用强大的加密机制。这些检查也是非常必要的，它可以减少未经授权的访问和敏感数据泄漏的风险。
　　8、身份管理和登录。安全身份管理(IDM)和签署组件可以为用户提供服务的帐户处理、密码管理和安全认证。并且可以根据安全方面的挑战不同对身份管理也进行区别对待。一个SaaS供应商可以提供完整的IDM和登录服务。在这种情况下，用户的信息、密码等，都保留在SaaS供应商的网站，因此应该安全地存储和处理。SaaS供应商应该能够保障密码的安全性和企业密码过期政策，并遵守监管要求。
　　看过上文，大家也了解SaaS的8个安全问题了。至于报销管理软件，上面的文章也进行了简单的介绍，总之还是请大家多多留意，因为会对你有所帮助的。

出处：https://www.huilianyi.com/news/1502.html

       大四做毕设的时候,那时候还是个萌新,好多技术都不了解,想想那个时候真的是天真无邪的三好青年,没有采用老师给好的毕设思路,自己依照毕设题目想象功能去实现,现在想想都是泪啊.初生牛犊不怕虎,那个时候自己仗着自己有javaSE的基础,就想自己整个好的项目当作自己对大学四年的一个圆满的答卷,但是现实告诉我什么是人生.当初自己也是消息闭塞,对外面实际工作中所用的东西不了解,觉得有个javaSE的基础走个校招差不多了,没想到的是工作用的全是框架,只能说javaSE是最基本的东西,全当当初了解java,锻炼思维.那会面试动不动就问三大框架你了解几个,那会感觉学习java的苦逼生活可能才起步.
        言归正传,那会刚开始写程序弄了一个传统的MVC结构,弄的是基础webServlet,那会连ssh框架都没用,写到一半,发现了一个很严重的问题,边学边写感觉时间上不够了,自己想的功能太坑爹了.于是就想大神要了一套程序,自己改写一些,套用一下,那套程序当时看来相当牛逼,用的大部分知识我都不知道,maven管理控制的程序和我自己的土鸡程序,是两套程序,根本没把法结合在一起,于是乎,只能启用两个tomcat服务器,改了一下端口号.但是两个程序之间的传值怎么办???真想说一句在线等,急!!!
        自己想通过在一个项目上登入,在跳转到另一个项目的时候,实现另一个项目已登入功能,自己不用再次登入.在网上搜索了差不多一个白天也没搜到自己想要的东西,比如设置Cookie中的 setDomain()、setPath() 值,但是问题是setDomain()是在相同域名下才有用,我这个没有域名啊,自己本机上访问,测试了一会发现弄不了,还是没反应.还有让改tomcat配置的,弄个功能都这么高深了,看来没看懂,也不敢瞎用,万一崩了就要麻烦死了.还有一个iframe标签,没接触过,前端的东西,看来感觉很麻烦,也不符合我java编码的一贯思维.
        最后自己灵感一下,发现自己太笨了,这个问题以后怕是再也不会用到了,现在谁不是整合在一起,用mave进行控制,哪有我这种情况.自己直接拼接在地址栏上了,让路径带着去另一个服务器了,自己在页面上取一下就得到数据了,虽然没有什么安全性,但是这个问题没有纠结的必要性.
        java代码实现:
            try {
			
			Cookie cookies[] = hreq.getCookies();  // 获取请求中的所有cookie
			String[] strs=null;
			if (cookies!=null)  
			{  
			    for(int i=0;i<cookies.length;i++)  // 遍历
			    {  
			        Cookie cookie = cookies[i];  
			        if ("user".equals(cookie.getName())){
			        	 String value = cookie.getValue();// 用找的cookie去做你需要它做的事
			        	 strs = value.split("#");
			        	 String path="http://localhost:9003/自己的项目名?name="+strs[0];
							hresp.sendRedirect(path);
			        }   
			           
			    }  
			    
			}else{
				return "jsp/login.jsp";
				
			}
        js代码实现:
                <h1>欢迎 ${ param.name  }！</h1>
有没有大牛有更好的解决办法,跪求!!!