移动应用WebAPI接口安全.pdf

互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 移动应用移动应用webapi接口安全接口安全 2 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance api接口安全接口安全 3 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 113 78 71 47 34 26 21 19 10 2 1 0 20 40 60 80 100 120 sql注入 跨站脚本 信息泄露 越权访问 重置密码 命令执行 弱口令 配置不当 上传漏洞 文件读取 目录遍历 漏洞统计漏洞统计 概要概要 4 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 概要概要 常规安全 逻辑安全 传输安全 框架安全 运维安全 5 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 常规常规安全安全 rest类型安全问题 过度依赖ssl通信 session和认证管理缺陷 依赖http基础认证 xml类型安全问题 xxe外部实体攻击 xpath， xquery注入 xml dos拒绝服务攻击 ssrf服务端请求伪造 认证及授权安全问题 oauth授权实现不当 hash长度扩展攻击 cbc比特反转攻击 6 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 传输安全传输安全 7 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 逻辑逻辑安全安全 垃圾账号注册 活动作弊 越权修改信息 订单遍历 支付金额篡改 任意密码重置 8 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 逻辑逻辑安全安全 举例：验证码安全 暴力破解验证码 验证码直接在response中返回 跳过验证步骤，直接访问修改密码页面 篡改接收验证码手机、邮箱 密码修改逻辑放在前台js脚本，根据逻辑绕过修改密码 9 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 框架安全框架安全 springmvc axis2 cxf slim phalapi struts2 ibaits. redis yii2 10 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 运维安全运维安全 mongodb未授权访问 jboss jmx-console invoker war包部署 websphere/weblogic/tomcat弱密码，后台部署war包 oracle数据库各类web组件利用 resin任意文件读取 web-inf/web.xml可读取导致源码及敏感信息泄露 waf防护设置遗漏 11 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 安全开发生命周期安全开发生命周期sdlsdl 12 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 stride威胁建模 威胁 安全性属性 假冒（spoofing） 身份验证 篡改（tampering） 完整性 否认（repudiation） 认可 信息泄露（information disclose） 机密性 拒绝服务（dos） 可用性 提升权限（eop） 授权 13 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 数据流图（dfd） 销售001 销售nnn 收集过程 销售团队 系统列表 分析过程 报告生成 过程 管理器 信任边界 服务器 客户 14 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 dfd元素与stride的关系 15 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 威胁消减措施 威胁类型 消减机制 消减技术 假冒 认证 windows认证 kerberos认证 数字签名 篡改 完整性 访问控制列表 数字签名 消息认证码 抵赖 非抵赖性服务 强认证 安全审计 数字签名 安全时间戳 信息泄露 保密性 访问控制列表 加密 拒绝服务 可用性 访问控制列表 过滤 配额 授权 特权提升 授权 访问控制列表 组或角色成员 特权属主 权限管理 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 谢谢！