




已阅读5页,还剩11页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 移动应用移动应用webapi接口安全接口安全 2 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance api接口安全接口安全 3 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 113 78 71 47 34 26 21 19 10 2 1 0 20 40 60 80 100 120 sql注入 跨站脚本 信息泄露 越权访问 重置密码 命令执行 弱口令 配置不当 上传漏洞 文件读取 目录遍历 漏洞统计漏洞统计 概要概要 4 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 概要概要 常规安全 逻辑安全 传输安全 框架安全 运维安全 5 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 常规常规安全安全 rest类型安全问题 过度依赖ssl通信 session和认证管理缺陷 依赖http基础认证 xml类型安全问题 xxe外部实体攻击 xpath, xquery注入 xml dos拒绝服务攻击 ssrf服务端请求伪造 认证及授权安全问题 oauth授权实现不当 hash长度扩展攻击 cbc比特反转攻击 6 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 传输安全传输安全 7 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 逻辑逻辑安全安全 垃圾账号注册 活动作弊 越权修改信息 订单遍历 支付金额篡改 任意密码重置 8 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 逻辑逻辑安全安全 举例:验证码安全 暴力破解验证码 验证码直接在response中返回 跳过验证步骤,直接访问修改密码页面 篡改接收验证码手机、邮箱 密码修改逻辑放在前台js脚本,根据逻辑绕过修改密码 9 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 框架安全框架安全 springmvc axis2 cxf slim phalapi struts2 ibaits. redis yii2 10 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 运维安全运维安全 mongodb未授权访问 jboss jmx-console invoker war包部署 websphere/weblogic/tomcat弱密码,后台部署war包 oracle数据库各类web组件利用 resin任意文件读取 web-inf/web.xml可读取导致源码及敏感信息泄露 waf防护设置遗漏 11 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 安全开发生命周期安全开发生命周期sdlsdl 12 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 stride威胁建模 威胁 安全性属性 假冒(spoofing) 身份验证 篡改(tampering) 完整性 否认(repudiation) 认可 信息泄露(information disclose) 机密性 拒绝服务(dos) 可用性 提升权限(eop) 授权 13 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 数据流图(dfd) 销售001 销售nnn 收集过程 销售团队 系统列表 分析过程 报告生成 过程 管理器 信任边界 服务器 客户 14 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 dfd元素与stride的关系 15 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 解决思路解决思路 威胁消减措施 威胁类型 消减机制 消减技术 假冒 认证 windows认证 kerberos认证 数字签名 篡改 完整性 访问控制列表 数字签名 消息认证码 抵赖 非抵赖性服务 强认证 安全审计 数字签名 安全时间戳 信息泄露 保密性 访问控制列表 加密 拒绝服务 可用性 访问控制列表 过滤 配额 授权 特权提升 授权 访问控制列表 组或角色成员 特权属主 权限管理 互联网金融一站式安全服务提供商互联网金融一站式安全服务提供商 total security solution for internet finance 谢谢!
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 企业年度销售总结报告及未来发展规划
- 2025年精神科临床分析与干预实操模拟考试卷答案及解析
- 2025年儿科婴幼儿常见病诊疗技能检测答案及解析
- 高三学生学习方法指导方案
- 仁爱版七年级英语上册作文分类复习
- 2025年药物学用药安全知识应用考察模拟卷答案及解析
- 2025年应急医学灾难医学救援实战演练竞赛答案及解析
- 2025年血液科血液疾病诊断方法考核答案及解析
- 2025福建三明市属国企招聘6人笔试模拟试题及答案解析
- 小学三年级数学复习指导方案
- 2025年一卷政治高考真题及答案
- 安静与智慧主题班会课件
- 云南民族大学附属高级中学2026届高三上学期联考(一)生物试卷(含答案)
- 2025至2030年中国包月视频点播行业市场竞争格局分析及投资方向研究报告
- 皮带机安全知识培训
- 零星维修工程施工组织设计方案方案
- 2025年汽车驾驶员(技师)考试试题及答案(含答案)
- 2025大连国际机场招聘25人笔试历年参考题库附带答案详解
- 2025年浙江铁塔招聘笔试备考题库(带答案详解)
- 2025年上海市(秋季)高考语文真题详解
- 《秘书文档管理第三版》课件第七章
评论
0/150
提交评论