移动应用WebAPI接口安全.pdf_第1页
移动应用WebAPI接口安全.pdf_第2页
移动应用WebAPI接口安全.pdf_第3页
移动应用WebAPI接口安全.pdf_第4页
移动应用WebAPI接口安全.pdf_第5页
已阅读5页,还剩11页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 移动应用移动应用webapi接口安全接口安全 2 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance api接口安全接口安全 3 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 113 78 71 47 34 26 21 19 10 2 1 0 20 40 60 80 100 120 sql注入 跨站脚本 信息泄露 越权访问 重置密码 命令执行 弱口令 配置不当 上传漏洞 文件读取 目录遍历 漏洞统计漏洞统计 概要概要 4 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 概要概要 常规安全 逻辑安全 传输安全 框架安全 运维安全 5 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 常规常规安全安全 rest类型安全问题 过度依赖ssl通信 session和认证管理缺陷 依赖http基础认证 xml类型安全问题 xxe外部实体攻击 xpath, xquery注入 xml dos拒绝服务攻击 ssrf服务端请求伪造 认证及授权安全问题 oauth授权实现不当 hash长度扩展攻击 cbc比特反转攻击 6 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 传输安全传输安全 7 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 逻辑逻辑安全安全 垃圾账号注册 活动作弊 越权修改信息 订单遍历 支付金额篡改 任意密码重置 8 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 逻辑逻辑安全安全 举例:验证码安全 暴力破解验证码 验证码直接在response中返回 跳过验证步骤,直接访问修改密码页面 篡改接收验证码手机、邮箱 密码修改逻辑放在前台js脚本,根据逻辑绕过修改密码 9 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 框架安全框架安全 springmvc axis2 cxf slim phalapi struts2 ibaits. redis yii2 10 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 运维安全运维安全 mongodb未授权访问 jboss jmx-console invoker war包部署 websphere/weblogic/tomcat弱密码,后台部署war包 oracle数据库各类web组件利用 resin任意文件读取 web-inf/web.xml可读取导致源码及敏感信息泄露 waf防护设置遗漏 11 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 安全开发生命周期安全开发生命周期sdlsdl 12 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 stride威胁建模 威胁 安全性属性 假冒(spoofing) 身份验证 篡改(tampering) 完整性 否认(repudiation) 认可 信息泄露(information disclose) 机密性 拒绝服务(dos) 可用性 提升权限(eop) 授权 13 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 数据流图(dfd) 销售001 销售nnn 收集过程 销售团队 系统列表 分析过程 报告生成 过程 管理器 信任边界 服务器 客户 14 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 dfd元素与stride的关系 15 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 威胁消减措施 威胁类型 消减机制 消减技术 假冒 认证 windows认证 kerberos认证 数字签名 篡改 完整性 访问控制列表 数字签名 消息认证码 抵赖 非抵赖性服务 强认证 安全审计 数字签名 安全时间戳 信息泄露 保密性 访问控制列表 加密 拒绝服务 可用性 访问控制列表 过滤 配额 授权 特权提升 授权 访问控制列表 组或角色成员 特权属主 权限管理 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 谢谢!

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论