精华内容
下载资源
问答
  • APP安全防护常见问题分析

    千次阅读 2017-10-10 14:22:33
    常见的 App 安全问题 据2017年上半年移动安全报告显示,近五年安卓端病毒数量呈直线上升趋势。到2016年,这一数字已大幅上升至1743万,预计...常见安全问题分析 上图可看出Android研发要点约450个,包含组建安全、配
    常见的 App 安全问题
    据2017年上半年移动安全报告显示,近五年安卓端病毒数量呈直线上升趋势。到2016年,这一数字已大幅上升至1743万,预计2017全年病毒量将接近2000万。亚洲仍然是病毒重灾区,而中国2017年上半年以约242万的病毒数量位列全球第一,我们所面临的漏洞是非常严峻的。

    常见安全问题分析

    上图可看出Android研发要点约450个,包含组建安全、配置安全、策略安全、通信安全、权限欧洲、DOS安全、ROOT安全等等,今天从这里面挑一些重点讲一下。
    传输安全。本地校验用户验证码也非常重要,以后请大家开发中本地的数据校验尽量不要放在本地,尽量放在云端。对于数据的加密,建议所有的App和用户的客户端不要用一个共同的密钥,对于密钥生成的方法尽量根据用户的ID或者一些信息来生成出来,这样避免了大规模密钥的泄露。
    Webview的代码执行漏洞。安卓存在一个非常著名的远程代码执行的漏洞,由于我们程序没有正确地使用,大家可能在做GS和Java户调的时候会遇到这个问题,远程攻击者可以通过Java分设接口执行一些恶意的Java方法,最终导致App在使用Webview的时候遭到攻击。我们是可以做一些应对的,安卓系统通过Webview通过一个注册来调用Java功能,攻击者利用反射对他进行攻击,其实谷歌也看到了这个问题,因为这个问题毕竟比较大、也比较广,所以谷歌在API Level17以后这个问题就得到了遏制,对于小于17,或者17以下的能不使用就不使用,如果真的要使用可以增加过滤,对数据的传输做一下校验。
    应用安全层。可以对代码进行一些混淆,如配置,如果觉得这还不够,也可以使用一些第三方的工具,比如APK文件。对于更加讲究安全性的经营类的企业,可以选择加固,使用脱壳程序,最后形成一个新的Dex包,最后完成对一个程序的加固。
    第三方组件安全。之前做App应用,在研发后对应用做了很多安全防御。但是大概刚上线不到两天就暴露出漏洞了,究其原因是App项目中用了国内一家非常著名的SDK的推送平台,由于这个平台在发送推送广播的时候没有做数据的校验,导致了黑客可以利用这个推送广播进行伪装,给我发一些数据,最后导致应用在接收了广播之后,只要我点击这个广播应用就崩溃。因此我们除了做好自身应用的安全以外,要保证所引用的第三方,或者合作伙伴也是安全的。也就是说安全是一个团队性的。
    组件安全问题。安全有四大原生的组建,第一个是Activity,首先是访问权限控制,组建处理不好会导致你的应用被恶意程序进行恶意的页面调用。作为研发人员,我们可以从以下三点来预防和避免这个问题:
    私有的Activity不应该被其他应用启动且应该确保相对是安全的;
    关于Intent的使用要谨慎处理接受的Intent,以及其携带的信息尽量不发送敏感信息,并进行数据校验。
    设置Android:exported属性,不需要被外部程序调用的组建应该添加android:exported=”false”属性。
    第二个组建安全是Service劫持、拒绝服务。常见的漏洞有 Java 空指针异常导致拒绝服务和类型转换异常导致的拒绝服务两种。应对 Service 带来的安全问题给大家三点建议:一我们应用在内部尽量使用 Service 设为私有,如果确认这个服务是自己私有的服务,就把它确认为私有,不要作为一个公开的服务;针对 Service 接收到的五数据应该进行校验;内部的Service需要使用签名级别的 protectionle。

    安全编码规范
    其实程序员的编码规范很重要。在Java中,对于一些重要的类、方法、变量,我们在定义的时候一定要想这么几个问题。
    定义的类或者变量到底返回什么?
    它们获得什么作为参数?
    是否能够绕过安全线?
    它是否含有能够绕过边界,从而绕过保护的方法变量?
    有了这种思想之后,对于一些安全性的风险代码为了防止暴露,我们可以做一些操作,说限制对变量的访问,让每个量的方法都成为Final,尽量使你的类不要被克隆,如果一旦允许被克隆,它可能会绕过这个类轻易地复制类的属性。安卓中很多会使用到序列化,如果自己觉得这个类是有风险的,或者说安全性是很高的,尽量不要让它序列化。最后是避免硬编码影响数据。
    在代码规范控制之余我们还可以从第三方防护加强APP安全性能。
    海云安移动应用安全风险评估系统可以对安卓应用和iOS应用进行多维度的安全测试。针对移动应用的开发状态、软件包状态和运行状态进行安全风险估计测试
    产品特点:
    覆盖面广:覆盖移动应用的客户端、通信管道、后台服务端。安全检测从应用自身安全、业务操作安全、通讯数据安全、服务端安全4方面360度全面无死角发现APP安全漏洞。
    检测项目多:超过100个安全检测项,五个规则库涵盖恶意代码、恶意URL、恶意行为、主机漏洞、应用漏洞,且持续快速更新。
    覆盖过程全:覆盖应用开发全过程、应用安装包检测、应用运行时检测、应用卸载。
    对标能力强:全面对标常规基准、行业标准、监管要求等。
    检测效率高:最快可在2小时内完成移动应用客户端、通信管道、后台服务端安全检测。
    测试环境灵活:可在内网、外网开展移动应用安全检测。
    多平台兼容:全面支持Android/iOS应用。
    多路监听技术:基于网络流量监听引擎,从流量中自动提取资产列表,实现对大规模移动应用API的快速有效扫描,包括孤岛页面。
    微信公众号支持:首款支持微信公众号安全测试。
    测试/分析分离:测试人员根据安测宝的测试指引进行测试;分析人员在后台根据测试的结果进行APP的安全性分析。分工合理、明确、高效。
    ps.
    海云安目前拥有业内独立专业的信息安全实验室,2015-2016年陆续推出了多个具有自主知识产权的国内首创的移动安全产品,并主持引领了多项行业标准及规范制定,推动移动安全行业快速发展。
    引领行业标准
    • 参与制定信息安全国家标准
    • 主编《深圳法人银行个人手机银行安全评估规范》
    • 主持制定《金融服务移动应用信息安全指南》
    打造安全生态
    • 国内第一个移动应用真机测试服务平台(MATP)
    • 国内首套移动应用安全风险评估系统(MARS)
    • 国内第一台智能移动应用防火墙(iMAF)
    • 新一代APP安全无壳加固技术产品(EMAC)

    展开全文
  • 企业PC终端安全问题分析及整改措施

    千次阅读 2020-04-03 15:10:58
    我是90后,从事网络、安全行业将近6年,现在某市级单位负责网络安全,带着个小团队,主要维护、优化全市下级单位网络,搭建本单位的网络安全体系。一路以来的心路历程除了艰辛还是艰辛,主要想把自己多年编写过的...

    第一次写技术文章,简单介绍下。我从事网络、安全行业将近6年,现在单位负责网络安全,主要维护、优化本单位及全市下级单位网络,搭建本单位的网络安全体系。一路以来的心路历程除了艰辛还是艰辛,主要想把自己多年编写过的技术文档,处理故障的一些心得,分享出来给各位正在网络安全路上奋斗的小伙伴,一起努力,天道酬勤!
    首先,先了解下关于终端安全,本文针对是桌面PC,非服务器(虽然有些措施可以通用,后续会出个服务器版的终端安全)主要有几大方面:防病毒、木马、系统补丁修复、终端防护安全策略、网络准入、软件管控、移动设备管控、员工安全意识。

    一.防病毒、木马。
    病毒木马有不同类型,如:勒索病毒、挖矿木马、风险软件、后门远控…等,这些病毒木马可以从不同渠道进入到单位网络,so,如何防护?
    1.从源头上隔绝病毒木马。
    要安装软件,务必在软件官方网站上进行下载,不要通过软件下载器,不要打开搜索引擎搜索关键字,随便点个链接就下载。如果点了风险链接或者是冒牌网站进行下载软件,基本上都会感染病毒,或者是软件自带后门远控。
    企业内网的话,因为上不了互联网,所以这类风险较少。
    2.安装防病毒软件。
    根据企业规模,条件允许的话,可以购买付费的杀毒软件,可以享有技术支持,维保服务,管理平台,功能更强大。
    ps:作为刚从业网络安全行业的小白来说,厂家技术支持是非常重要的,一来可以减轻工作量,二来可以跟这些售后工程师学习,所以关系要处理好。
    安装了防病毒软件之后,并不是说一劳永逸。需坚持做好以下这几点:
    (1)必须定期更新病毒库,起码一周一次,若是互联网环境,则可以自动每日更新。若是企业内网的话,可以通过下载离线更新包的方式更新。有条件的话,还可以搭建内网互联网数据交互平台,让内网的防病毒服务器以代理的方式,通过数据交换平台,访问互联网实现自动更新病毒库。一般企业可能就是通过防火墙来实现了,有条件的,可购置数据交换系统,如网闸。甚至高大上点,用单向光闸。
    (2)在防病毒的控制台上,设置邮件告警,报表。最起码有PC感染了病毒木马,会第一时间收到邮件告警。至少每周收到一次全网感染病毒情况的报表。

    二.系统漏洞。
    漏洞利用及端口爆破是攻陷终端设备的重要手段,通过漏洞利用或爆破攻击服务器,随后进行内网横向渗透,整个过程中漏洞利用及端口爆破都是最常用的手段,因此我们需及时安装补丁及关闭不必要的开放端口。
    修复漏洞的话,主要难在如果确定哪些补丁要打,哪些补丁可以忽略。我认为,对于普通企业来说,微软每月安全补丁更新、网上披露的严重漏洞补丁(一般披露的都是不同产品、软件的漏洞,需要挑选出适合本单位的)、某些软件有bug需要打补丁修复(例如办公软件有时需要通过打补丁修复bug),这些补丁都是需要定期修复的,建议最好至少一周一次。那么,我们只需要部署一套可以一键下发任务,批量修复补丁的软件即可。
    关于开放端口的问题,首先要确认自身业务所使用的端口,然后再对比业内常见的风险端口列表,如3389/22/445/137/135/139…等,若没有影响业务,则把相应端口关闭。例如自身没有使用共享文件夹服务的,就把445端口禁用。没有使用到远程桌面服务的,就把3389端口禁用,2019年远程爆破是最常见的攻击方式,也是最简单,粗暴的攻击手法。如果你懒得去找,好吧,相信我,把3389和445都关了(在PC防火墙上建立入站和出站规则,禁用风险端口)。

    三.终端准入
    什么是准入?简单说就是只有通过授权或者认证的人员,才能访问网络。它可以帮助我们对员工进行身份认证,阻断非法终端的网络连接、对终端完整性进行检查。
    我认为终端准入可以从两个方向去实现。一是在终端层面,二是在网络层面。终端层面,有条件的可以购买安装自带网络准入功能的终端防护软件,这类通常都需要部署一套系统,在平台上进行管控。网络层面,可利用现有资源进行部署,但对管理人员技术要求较高,需要有路由交换相关知识。可在接入交换机上通过端口安全port-security功能,进行简单的mac-端口-vlan绑定。亦可通过ipsg技术+地址binding表,这种方法更稳定。在网络层面上做准入最大的难点就是所有的资料都基于PC资产表,你必须对全网的PC进行把控,起码要做到全网任何一台机,都有收录ip、mac地址、所接入的交换机,接入端口等一系列信息,前期工作量较大,而且这类方式适用于人员变动不大的单位。
    四.软件管控
    在软件这方面,主要问题是盗版软件滥用和如何管控不合规软件的。就像刚才说的那样,我们很容易就会在冒牌网站下载软件,那么,在这方面要怎么防护呢?
    首先明确我们的目的,就是对内网软件进行标准化管控。第一、搭建终端管理平台,现在很多终端防护软件都会有这种平台,客户端/服务器架构。可以帮助我们对全网终端的软件安装情况有个清晰、详细的了解,还可以统一对全网终端下发软件2个用户安装了非法软件,哪些软件版本太旧需要更新…等。第二、建立一个标准的软件库。若办公网是外网环境,这个比较容易实现,安装个知名的、安全的软件库就行。若是在内网环境的话,可以通过建立ftp或者共享文件夹的方式,这个对人力需求较高,运维人员需要从外网下载正版软件,再通过内外网交互,传回内网,确认无毒后再上传ftp。亦可通过安装终端管理平台,平台自带软件库,但这个要求平台要连通互联网,从而定期更新软件库。像前面说的一样,这种可通过代理的方式或者是建立内外网数据交换平台,通常说的就是网闸。
    五.移动U盘管控
    对于U盘,需根据企业自身业务需要,对有需要的人员进行权限开放。员工使用U盘必须注册登记并增加密码保护,同时,需要有一套U盘监管系统,对U盘的使用情况进行审计,对U盘的权限可管理,例如只读、只写。有条件可购买终端管理系统,可以做到内网有专用U盘,只能接内网使用。内外网数据交互的话,就通过一台中间机来进行,这个中间机自带病毒库,会对交换的文件进行查杀毒。
    六.小结

    对于一般企业来说,要想做好终端安全,我认为最起码要做好以上几点工作。终端安全只是网络安全的一部分,要整体把握的话,安全意识的宣传也很重要。 当然,这个不是一个人的力量可以完成的事情,需要领导的支持,需要全体员工的支持。

    展开全文
  • 网站安全仍然是目前互联网网络安全的...APP的流量占据整个互联网的市场,简单易用的同时,也带来了新的网站安全方面的问题,APP的安全问题,也层出不穷。 据我们SINE安全公司对整个2019年的第一季度,第二季度的...

    网站安全仍然是目前互联网网络安全的最大安全风险来源第一,包括现有的PC网站,移动端网站,APP,微信API接口小程序的流量越来越多,尤其移动端的访问超过了单独的PC站点,手机移动用户多余PC电脑,人们的生活习惯也在改变,APP的流量占据整个互联网的市场,简单易用的同时,也带来了新的网站安全方面的问题,APP的安全问题,也层出不穷。

    据我们SINE安全公司对整个2019年的第一季度,第二季度的网站的安全检测发现,网站漏洞排名第一的还是SQL注入漏洞,以及XSS跨站漏洞,DDOS流量攻击等等的漏洞攻击,CSRF也挤进了漏洞的前五,可看出该漏洞的危害性也日益严重。网站漏洞的发生,分分秒秒的都在考验网站以及APP应用背后的安全应急响应的能力,另外一些方面比如一些区块链,虚拟币,大数据,云计算的技术与产业的成熟,也带动了整个互联网的流量快速增长,搜索引擎的蜘蛛与爬虫攻击也越来越多,许多网站的用户信息泄露,网站被攻击瘫痪打不开,给公司的运营带来了严重的影响,经济损失以及公司名誉损失都是双重的挑战,根据我们SINE安全对2019年一,二,季度的综合安全检测与漏洞攻击分析,来给大家呈现2019年的网站安全检测报告。

    大部分的网站被攻击,APP被攻击,数据被篡改,网站被跳转到其他网站,网站快照被劫持等情况,都是使用的网站漏洞扫描器来攻击的,漏洞扫描软件对互联网上的网站,APP进行自动化的扫描,嗅探,试探攻击,目前的漏洞扫描软件很智能化,对网站使用的源码会自动识别,像一些企业网站使用dedecms系统,phpcms,discuz论坛系统,metinfo,thinkphp系统,都会识别到,并区分网站版本,对网站版本目前存在的漏洞,进行自动验证,如果该网站,以及APP存在漏洞,会直接执行下一步的攻击操作。也就是说整个网站的攻击来源是漏洞扫描软件。

    在防护漏洞扫描软件上面,大部分的安全厂商会对扫描软件的特征,以及日志分析,定位软件的扫描端口,扫描IP在一分钟超过多少次的扫描次数后,认定为漏洞扫描软件,并更新到安全黑名单中,对漏洞扫描器进行屏蔽,可以有效的防止网站被攻击,大大的缓解了漏洞扫描给网站以及服务器带来的CPU负载,促使网站更快的打开与访问,给用户提供更好的网站访问体验。

    随着网站防火墙的升级以及WAF规则不断变化,传统上的sql注入攻击,XSS跨站攻击代码都会被防火墙拦截掉,国内的阿里云CDN,百度云加速,360CDN,腾讯云CDN,都有自己的WAF防护规则,当对网站进行尝试性攻击的时候,就会将这些恶意代码攻击进行自动拦截,很多的攻击者目前采用了编码加密来进行绕过防火墙,让防火墙失效,这种攻击情况越来越严重,像mysql数据库,以及js语言,通过编码以及变形免杀绕过网站防护的攻击手段越来越多了,攻击与防护是对立的,道高一尺魔高一丈,是在不断的较量当中,我们SINE安全公司发现尤其2019年的攻击,大部分采用的都是编码加密与变形来绕过网站防火墙以及WAF,在get,post,cookies数据中,http头,form变淡,hex编码,JAVA编码,UTF7编码,注释加减,unicode编码绕过,都是目前常用的绕过防护手段。

    攻击的IP地址也越来越多,代理IP,国外IP,都呈现增长的趋势,IPV6的开放,使得更多的IP可以利用,当网站防火墙对攻击IP进行拦截的时候,攻击者往往会自动切换IP,继续对网站实施攻击,IP地址也不能作为网站防护的一种重要的手段了,我们的网站防火墙应该从多个数据进行分析,比如攻击者使用的电脑硬件设备名,以及cookies,浏览器特征,token动态值,综合大数据进行分析,对信任的IP进行放行,有攻击行为的IP加入待审核,通过多个日志分析来判定是否为攻击。

    展开全文
  • 区块链开源安全漏洞分析报告

    千次阅读 2017-01-03 09:37:48
    类漏洞,该类漏洞主要是由于对用户输入未做充分验证导致的, 一旦攻击者构造恶意输入,可能造成任意命令执行、任意文件读取等严重安全问题。 “ 代码质量问题 ” 类漏洞也出现较多,产生的主要原因是开发人员安全...


    区块链技术已经不容置疑的成为科技和金融领域炙手可热的新技术。今年 6 月,包括中国代表在内的来自 90 个国家的央行及监管机构代表齐聚华盛顿美联储总部,共同探讨区块链技术的发展和应用。全球对区块链的兴趣已经不再局限于某个机构内部,开始了大规模的协同探索。

    但是继The Dao事件心有余悸之后不久前数字货币又发生被盗事件。以太坊和Augur早期投资者沈波的账户被黑客攻击,导致PoloniexAugur市场REP价格从0.0035个比特币跌到0.0001个比特币。

    区块链技术的安全是被关注的重点问题,一旦相关软件存在漏洞,将造成巨大的财产损失。为此,国家互联网金融安全技术专家委员会官网上最新发布了一则非常重要的报告——区块链开源软件源代码安全漏洞分析。

    201610月,国家互联网应急中心聚焦区块链领域的知名开源软件,综合考虑用户数量、受关注程度以及更新频率等情况,选取了 25 款具有代表性的区块链软件,结合漏洞扫描工具和人工审计,进行了安全检测。从结果来看,开源区块链软件存在着不容忽视的严重安全风险。

    报告指出,测试选取了 25 款具有代表性的区块链软件,包括DogecoinRippleLitecoinDashEthereum Wallet等,结合漏洞扫描工具和人工审计,进行了安全检测。本次检测在代码层面发现高危安全漏洞和安全隐患共 746 个。由于这些软件多数与资产、货币交易相关,一旦出现漏洞,可能会导致财产损失的严重风险。

     

    安全漏洞情况

    报告中指出本次检测从这些项目的代码层面总计发现高危漏洞 746 个,中危漏洞 3497 个。图1展示了被测项目中检出的中高危安全漏洞情况,图中还用红色折线图展示了每千行包含漏洞数。从中可以看出,本次选取的区块链软件都存在不同程度的安全问题。


    1 区块链开源软件项目中高危漏洞情况

    在所有被测软件中,总体而言安全风险相对较为严重的是区块链支付网络 Ripple,包含高危漏洞 223 个。 值得注意的是,该软件很可能是本次检测的区块链相关软件中名气最大、用户最多、使用最广的软件。 据悉,截至发稿,该软件所在公司已获得包括Google、埃森哲等在内共计 1 亿美元的投资, 同时一些大型银行已经宣布将加入其支付网络,其中包括渣打、西太银行、澳大利亚国家银行和上海华瑞银行等。 考虑到该软件直接处理金融资产,且拥有如此大规模的用户,一旦这些漏洞被黑客利用,将会造成不可估量的损失。

    总体安全风险排名第二的是 Ethereumj 项目, 该项目是基于区块链的分布式应用平台 Ethereum Java 实现。 检测表明,该项目包含高危漏洞 110 个,具有较高的安全风险。

    在所有被测软件中,漏洞总数最多的是基于区块链的金融服务软件 BitShares, 其最新版本包含中高危漏洞高达 669 个,其中高危漏洞 4 个,中危漏洞 665 个; 虽然已经比早期版本(BitShares-0.x 包含高危漏洞 25 个,中危漏洞 1236 个)有了明显改善, 但仍然存在较大的安全风险。

    从漏洞分布密度来看,区块链浏览器 Bitcoin Block Explorer 的漏洞密度最高。 其软件规模较小,仅有 984 行代码,但是平均每 11 行代码就存在一个高危漏洞。 需要说明的是,该软件 2015 9 月后就停止更新和运行了,目前其源代码主要被用作学习和参考。 为避免引入不必要的安全风险,关注该项目(Github star数量为 141)的开发者应知悉其代码中的可能存在的安全隐患。

     

    高危安全漏洞分布

    2展示了被测项目中高危漏洞大类的分布情况。

    数据表明,大多数漏洞为输入验证与表示类漏洞,该类漏洞主要是由于对用户输入未做充分验证导致的, 一旦攻击者构造恶意输入,可能造成任意命令执行、任意文件读取等严重安全问题。 代码质量问题类漏洞也出现较多,产生的主要原因是开发人员安全意识不足,代码编写不够规范, 此类漏洞会导致内存溢出、资源耗尽等安全隐患,严重情况下会导致系统运行异常、甚至系统崩溃。 由于区块链软件往往直接运行于金融领域等重要系统中,一旦系统崩溃将带来不能容忍的巨大损失。 安全特性类漏洞也占据了一定份额,这类漏洞主要涵盖身份认证、权限管理、密码管理等方面的问题, 攻击者可利用该类漏洞实现越权访问,窃取隐私信息等。


    2 被测项目中高危安全漏洞的分布情况(按大类划分)

    3进一步展示了被测项目中的各种具体的高危级别安全漏洞的分布情况。在被测的 25 个项目中, 最多的两类漏洞是不安全的 JNI16.22%121 个)和不安全的随机数(21.72%162 个)。


    3 被测项目中高危安全漏洞的分布情况(按具体漏洞划分)

    对于区块链软件来说,加密功能是维护整个开放数据库(账本)安全的核心功能,不安全的随机数问题将严重降低软件抵御加密攻击的能力,导致如易于猜测的密码、可预测的加密密钥、 会话劫持攻击和 DNS 欺骗等严重漏洞。

     

    安全漏洞总体分布

    与高危漏洞相比,中低危漏洞在实际运行环境中的危害相对较小, 但仍能在一定程度上反映出项目的代码质量、开发人员对代码安全问题的重视程度等。 4展示了被测项目中包括中低危漏洞在内的所有级别安全漏洞大类的分布情况。


    4 被测项目中的全部安全漏洞的分布情况(按大类划分)

    与高危级别的漏洞分布情况相比,代码质量类问题所占比例大幅提升。 这类问题虽然不会导致直接的严重安全漏洞,但仍然存在着明显的安全隐患,一旦被利用, 也可能导致程序崩溃等严重风险。此外,项目还存在相当数量的 API 使用不当问题, 例如不安全的使用字符串处理函数、忽略特定 API 的返回值等。未按照约定使用 API, 可能导致程序运行发生意想不到的异常问题,从而影响程序逻辑正确性或者系统稳定性。

    5进一步展示了被测项目中的各种具体的安全漏洞的分布情况。 出现最多的两种漏洞分别是未使用的局部变量(13.94%1181 个)、 不安全的字符串处理函数(13.20%1118 个)。


    5 被测项目中的全部安全漏洞的分布情况(按具体安全漏洞划分)

     

    展开全文
  • 中国通信标准化协会)在智能交通、车联网方面开展了相关的技术研究,有两项汽车电子设备研究课题:《移动互联网+汽车安全问题及关键技术研究》、《车载智能终端信息安全研究报告》。  我国的车企联盟也成立了车...
  • 但是移动互联网的流行也使得传统互联网上存在着的各种安全问题逐渐延伸到移动互联网领域,甚至演化成为新的安全威胁,可以说移动互联网的特性决定了其受到的威胁要远远多于传统互联网。对于用户而言,不仅要面临诸如...
  • 无人驾驶安全报告分析

    千次阅读 2019-08-26 18:26:26
    对于车载信息安全系统的安全而言,不但要能够抵御网络攻击、检测扫描软件漏洞、防止数据篡改、对异常行为进行实时监控,还要保证车辆的行驶安全、车辆信息交互系统功能的正常、以及隐私信息安全的保护。而随着针对...
  • 软件安全需求分析

    千次阅读 2020-12-30 19:10:33
    文章目录一、软件与软件安全的需求分析1、软件需求分析的主要工作2、软件安全需求分析的主要工作二、软件安全需求来源1、来源的分类2、软件安全遵从性需求三、需求的获取1、获取的相关方2、获取方法 一、软件与软件...
  • 抓包、反编译我都做过,但是我不太会人工攻击方法,来分析软件所存在的安全问题。所以我想问一下, 1.有没有类似web安全测试工具那样的应用程序,可以主动的去分析出APP所存在的安全问题, 我也使用Dexter上传APK...
  • 物联网安全安全分析

    千次阅读 2018-07-10 16:05:46
    1. 物联网发展趋势- - - - 物联网的出展技术可以总结为多样化、层次化和丰富化。即:接入方案多样化- - - - 有蜂窝移动网络(2G/3G/4G)接入...所有的安全操作根据安全功能分层,分为安全环境、安全连接和安全应...
  • 漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入... 本报告选取11类android app中同等数量的热门app,其活跃用户量可覆盖83%的移动端网民,根据阿里巴巴移动安全中心对这些app的漏洞检测,得到
  • 【金融安全头条】Clutch云安全调查:70%的上云企业愿把数据储存在云,而非传统环境中。 概要:Clutch云安全调查:70%的上云企业愿把数据储存在云,而非传统环境中。64%的企业愿意在数据加密上增加投资;超过50%...
  • 常见App安全问题

    千次阅读 2018-06-02 10:32:07
    常见的 App 安全问题据2015年第三季度移动安全报告显示,Android 16个行业 TOP 10...常见安全问题分析上图可看出Android研发要点约450个,包含组建安全、配置安全、策略安全、通信安全、权限欧洲、DOS安全、ROOT安全...
  • 新冠肺炎疫情发生以来,中国信息通信研究院互联网新技术新业务安全评估中心持续对涉疫情个人信息和数据安全事件与风险问题进行监测,密切跟踪相关事件发展情况,评估风险威胁程度和影响范围,提出风险防范建议。...
  • 2019中国信息安全自主可控行业政策盘点及网络安全行业分析一、盘点中国信息...安全自主可控核心问题关键点**2、基于自主可控技术国产化替代框架进度及主流品牌分析**3、党政军领域国产化自主可控是必要条件**4、国产化...
  • 《 工程伦理 》课程 案例分析报告撰写要求

    万次阅读 多人点赞 2020-04-30 22:52:50
    《 工程伦理 》课程案例分析报告撰写要求 机械工程专业学位研究生课程《工程伦理》考核除完成**课程论文论文外,还应提交其《工程伦理》课程案例分析报告**,要求每位同学准备 10 分钟相关**案例分析的 PPT** 以论-...
  • TLS协议分析 (七) 安全分析

    千次阅读 2017-04-11 09:13:28
    9. TLS协议的安全分析 安全分析,重中之重,也是大家最关心的。 安全分析的第一步是建立攻击模型,TLS的攻击模式是: 攻击者有充足的计算资源 攻击者无法得到私钥,无法得到客户端和服务器内存...
  • 物联网安全综述报告

    万次阅读 多人点赞 2018-11-26 13:26:50
    物联网安全综述报告 文章目录物联网安全综述报告1. 物联网安全概述2. 物联网安全层次及其需求分析2.1 感知层概述及需求分析2.2 传输层概述及需求分析2.3 云服务层概述及需求分析2.4 应用层概述及需求分析3. 物联网...
  • 基于TOMCAT的爬虫问题分析报告

    千次阅读 2010-10-09 18:49:00
     tomcat运行环境:默认参数分析工具及方法: 工具:JProfiler 6.0.3 方法:在真实生产环境下启动爬虫,使用JProfiler监测该爬虫节点具体运行情况。错误现象: 1. 关闭tomcat时报错。(MYSQL JDBC或...
  • 娜璋AI安全之家于2020年8月18日开通,将专注于Python和安全技术,主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来,与...
  • 安全U盘市场分析

    千次阅读 2019-07-01 20:13:03
    **诞生背景:**随着信息时代的到来,计算机已经全面进入了人们的生活和工作中,由于计算机的普及,移动存储介质已经成为人们日常工作中不可缺少的信息传输工具,但是随之而来引发的安全问题却也成为了人们更为关注的...
  • AppScan安全问题解决方案

    万次阅读 2016-09-28 10:32:36
    一、 环境准备 测试通常给的是PDF文档,动辄几百页,看...(图片模糊掉了URL,不影响问题分析)   二、 如何分析AppScan扫描出的安全性问题 AppScan扫描出的问题会一般按照严重程度分高,危,参三种类型,高危属
  • 2020年中国网络安全产业白皮书分析解读

    千次阅读 多人点赞 2020-11-05 07:15:45
    安全从来都是一个聚焦的话题,根据信通院的提供的数据,2019年中国网络安全产业较2018年增长17.1%,这是信通院第六次发布中国网络安全产业研究成果,主要从全球网络安全产业规模和进展以及中国安全产业进展、生态...
  • 安全攻防进阶篇将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等。第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再...
  • Web日志安全分析系统实践

    千次阅读 2018-03-13 21:45:39
    isappinstalled=0零、前言在社区看到了这篇日志分析的文章--《Web日志安全分析浅谈》,文章整体写的非常棒,对日志分析的作用、难点、工程化建设和攻击溯源等方面进行了全面的描述。去年的毕设我也做了相关的研究,...
  • android lint 安全分析

    千次阅读 2014-09-04 20:37:06
    Androidlint 安全性检查简介 1、 lint简介 lint是一个比较出名的C语言工具,用来静态分析代码。与大多数C语言编译器相比,lint可以对程序进行更加广泛的错误分析,是一种更加严密的编译工具。最初,lint这个工具...
  • 根据最近发布的ESG环境、社会和治理研究,81%的网络安全专家认为企业应优先改善安全分析和运营水平。 什么是安全运营? 在企业信息安全建设初期,安全工作的主要内容是购买安全设备和部署安全管控系统并进行...
  • Web日志安全分析浅谈

    千次阅读 2018-10-18 14:07:52
    所谓有价值的地方就有江湖,网站被恶意黑客攻击的频率和网站的价值一般成正比趋势,即使网站价值相对较小,也会面对“脚本小子”的恶意测试攻击或者躺枪于各种大范围漏洞扫描器,正如安全行业的一句话:“世界上只有...
  • 信息安全管理课的作业,最后弄了一篇完整的论文和做出来的模型,还有写点一点java代码,嫌麻烦后面就没完成。 这篇就简单讲一下层次分析法(Analytic Hierarchy Process,简称 AHP)前面的摘要啊绪论啊风险评估的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 136,035
精华内容 54,414
关键字:

安全问题分析报告