安全服务入门PPT资料.pptx
- 文档编号:343785
- 上传时间:2023-04-28
- 格式:PPTX
- 页数:48
- 大小:2.17MB
安全服务入门PPT资料.pptx
《安全服务入门PPT资料.pptx》由会员分享,可在线阅读,更多相关《安全服务入门PPT资料.pptx(48页珍藏版)》请在冰点文库上搜索。
2017年,OWASP组织根据近几年安全攻击趋势,发布了OWASPtop10(2017),其中【A10-未受到充分保护的API】为新增的最新十大安全威胁之一。
确定接口测试目标,收集接口测试信息,实施接口安全测试,接口测试报告编写,通用接口安全测试,权限测试滥用测试数据校验测试数据重放测试报文篡改测试报文保密测试信息泄露测试,其他安全测试,XML实体注入SQL注入WEBAPI测试业务逻辑测试未知协议接口Fuzzing,渗透测试,WebAPI测试WebAPI测试主要参考常规web测试,使用burpsuite、fiddler、Firefox-hackbar插件等集成安全测试工具对API接口进行分析、测试。
TCP/UDPSocketAPI测试SockketAPI测试使用SocketTool等socket数据包测试工具,以及开发接口的公司使用的专用测试工具或者自己编写的测试脚本进行分析、测试。
使用wireshark进行数据包流量分析。
其他接口其他接口测试(接近研究性质),主要使用wireshark、SocketTool、自主编写的测试(FUZZ)脚本等进行测试。
抗反汇编能力代码混淆防护验证程序签名,完整性校验键盘窃听防护抗截屏/录屏,本地敏感信息组件劫持测试,移动APP安全测试,移动应用安全测试主要面向主流手机操作系统(包括但不限于:
Android,IOS,WindowsPhone,Symbian,Java等)上开发的移动应用。
测试范围覆盖手机端应用程序及文件,服务器端承载环境及处理逻辑及手机端与服务端的网络通讯,重点关注业务安全。
移动APP未验证SSL证书有效性。
APP程序明文保存用户密码。
APP未加壳以防止逆向分析。
敏感数据网络传输时未加密。
用户密码输入框未使用软键盘。
服务器未检测客户端提交的非法字符。
未严格控制用户的访问权限。
程序异常时显示详细错误信息。
保存密码使用不安全的哈希算法。
未对重放攻击采取防护措施。
移动APP安全测试,测试解决服务方案,客户端安全测试,客户端合规测试,服务端安全测试,渠道检测,APP安全加固,APP安全SDK,APP安全扫描,静态安全,密码策略,防截屏SDK,客户端代码安全,运行时安全,数据存储安全,第三方库安全监测,数据传输安全,组件安全,代码安全,访问控制策略,身份认证策略,文件上传/下载测试,未授权访问漏洞,条件竞争漏洞,APP升级漏洞,APP二次验证绕过,越权漏洞,OWASPTOP10,APP验证码绕过,7*24小时实施监控在线云检测服务平台钓鱼/盗版应用上线预警通知,各版本下载量,用户反馈舆情监控,安全键盘SDK,防界面劫持SDK,Classes.dex加固防进程附加,so库加固防hook,签名保护防调试防内存篡改,客户端文件信息,客户端组件安全客户端数据安全客户端权限信息,客户端交互信息保密,移动APP安全测试-android,不同于其它一些移动平台,Android系统的应用数量庞大、运行环境多样。
在root环境下,APP无法过多依赖操作系统提供的安全性,广泛的Java开发也造成了反编译的风险。
这使得攻防双方围绕逆向分析、本地运行干涉、通信安全等多个方面展开了激烈的对抗。
客户端安全,静态安全据安全,运行时安全,服务端安全,通用组件安全应用开发安全,业务逻辑安全,通信安全,通信保密性通信完整性,配置安全,认证策略访问控制策略,其它合规性要求,移动APP安全测试-ios,攻击场景模拟手机系统被完全控制程序被篡改成为恶意程序手机设备被盗/丢失攻击者中间人攻击利用程序本身漏洞/后门进行攻击用户使用习惯造成安全问题通过iOS应用渗透业务服务器,安全测试合规深圳法人银行业金融机构个人手机银行安全评估规范移动互联网应用软件安全通用技术规范(试行)网上银行系统信息安全通用规范信息安全技术移动智能终端个人信息保护技术要求,数据安全,静态程序安全,动态运行安全,程序策略安全,第三方安全,业务安全,网络传输安全,移动APP安全测试,准备阶段,测试方案授权协议,测试阶段,信息收集过程记录,加固阶段,加固指导复测报告,其他安全测试-客户端安全测试,编译与配置安全,软件编码安全缺陷,业务安全,软件防护能力,测试服务端常规安全漏洞,业务逻辑安全性,如业务重放攻击,业务越权操作,针对框架、平台属性进行编译以及程序配置安全检测,以及检测程序对系统配置安全影响,通过对客户端程序进行深入分析检查是否存在可能被利用的缺陷代码(如溢出),通过模拟恶意病毒攻击手法对程序进行攻击,检查程序是否有能力进行防护,PC客户端,客户端分类Linux客户端,MAC客户端,其他安全测试-控件安全测试,控件编译配置安全,控件防护缺陷,控件数据保护测试,控件编码缺陷,通过分析控件程序检查其加解密算法是否安全,是否存在本地敏感数据等,检测控件是否采用安全编译选项、是否存在自身配置以及修改系统配置带来的安全问题,通过模拟恶意病毒攻击手法对程序进行攻击,检查程序是否有能力进行防护,通过对控件程序进行深入分析检查是否存在可能被利用的缺陷代码(如溢出),控件分类,金融密码类,功能应用类,其他安全测试-IOT安全测试,生产设计,设备维护,销售样例,固件安全,存储安全,物理安全,多角度安全分析,通信安全电路安全,逻辑安全产品资料安全,全环节评估,其他安全测试-定点测试,筛选攻击场景攻击场景设计基于场景的安全评估绘制可能的攻击路径,专业安全服务中的定点测试主要使用已知漏洞以及已知手段,对目标系统进行全面的系统的安全评估(弱化0day漏洞挖掘以及工具开发,因此有别于传统渗透测试)。
安全漏洞扫描,安全漏洞评估主要是通过评估工具以本地扫描的方式对评估范围内的主机系统进行安全扫描,从内网和外网两个角度来查找操作系统和数据库等安全对象目标存在的安全风险、漏洞和威胁。
本次扫描主要对系统层的安全性进行评估。
该层的安全问题来自网络运行的操作系统和数据库系统等。
安全性问题表现在两方面:
一是本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等;
二是安全配置存在问题。
网络系统WindowsLinuxAIXHPSolarisNetWareBSD路由器交换机防火墙,WWWSMBFTPKernelSSHSNMPSMTPNNTPDCE/RPCCGI数据库Window木马和后XDMCP门XFSIMAPKerberosLDAPFingerONC/RPRTSPC远程管理POP3,应用系统,安全漏洞扫描概述-漏洞扫描方式&
范围,操作系统,数据库,中间件,通信协议,应用软件,应用系统,虚拟化系统,网络设备,安全设备,办公自动化产品,OSI,TCP/IP协议集,自动化扫描:
不需要投入过多精力,节省人力成本手工评估:
耗时、不全面、技术要求高,安全漏洞扫描概述安全漏洞分类,Web应用,第三方Web组件Web服务数据库应用程序操作系统基础网络,Web扫描器,系统扫描器,系统漏洞扫描vsWeb漏洞扫描,安全漏洞扫描概述-漏洞扫描结果示例,Microsoft远程桌面协议RDP远程代码可执行漏洞(MS12-020),WindowsServer服务RPC请求缓冲区溢出漏洞(MS08-067),部分SMB用户存在薄弱口令,Oracletnslsnr没有设置口令,目标主机没有安装MS04-011/KB835732补丁,MSSQLServer默认及易猜测账号存在弱口令,MicrosoftWindowsNTIISMDACRDS远程命令执行漏洞,IIS5.0/WebDAV远程缓冲区溢出,检测到目标服务器启用了TRACE方法,检测到目标主机可能存在缓慢的http拒绝服务攻击,检测到目标URL存在链接注入漏洞,检测出目标web应用表单存在口令猜测攻击,检测到目标URL存在框架注入漏洞,检测到目标URL存在存储型跨站脚本漏洞,检测到目标URL存在SQL注入漏洞,系统漏洞Web漏洞,安全漏洞扫描概述-常见系统漏洞扫描产品,国内绿盟科技远程安全评估系统(RSAS)榕基漏洞扫描天融信漏洞扫描南京铱迅漏洞扫描系统启明星辰天镜国外Rapid7NexposeNessusOpenVAS,安全漏洞扫描概述-常见Web漏洞扫描产品,国内绿盟科技WEB应用漏洞扫描系统(WVSS)安恒明鉴安域领创WebRavor知道创宇Websaber国外IBM的AppScanHPWebInspectAcunetixWVSBURPSUITE,互联网系统,城域网,数据业务,互联网,业务服务系统,办公管理系统,数据系统,BVS,IDC,网络设备安全配置规范账号管理、口令要求、日志审计、设备管理、服务安全安全设备安全配置规范账号管理、口令配置要求、日志审计、安全防护、设备管理主机操作系统安全配置规范账号管理、口令配置、认证授权、日志审计、登录管理、服务安全中间件系统安全配置规范账号管理、口令配置、认证授权、日志审计、登录管理数据库系统安全配置规范账号管理、口令要求、日志审计,安全基线核查,安全基线概述安全基线是什么,安全基线是信息系统的最小安全保证,即信息系统最基本需要满足的安全要求。
信息系统安全需要在安全成本与所能承受的安全风险之间取得平衡,而安全基线正是这个平衡的合理的分界线。
安全基线概述安全基线配置的分类,按照内容分类操作系统:
Windows、Linux、Solaris、HP-UX、AIX等数据库:
SQLserver、Oracle(Windows/Linux)、MYSQL(Windows/Linux)等中间件:
WebSphere、Tomact、weblogic、Jboss、apache等网络设备:
Juniper路由器、华为交换机/路由器、华为防火墙、思科二层交换机/三层交换机/路由器/防火墙等,按行业分类运营商:
中国电信、中国移动、中国联通基线安全规范标准工信部:
电信和互联网安全防护基线配置要求公安部:
国家等级保护对应等级的基线安全规范标准,安全基线概述安全基线规范展示,网络设备安全配置规范安全设备安全配置规范主机操作系统安全配置规范桌面终端操作系统安全配置规范数据库系统安全配置规范,安全基线概述安全基线规范展示,网络设备安全配置规范安全设备安全配置规范主机操作系统安全配置规范桌面终端操作系统安全配置规范数据库系统安全配置规范,安全基线概述安全基线规范展示,网络设备安全配置规范安全设备安全配置规范主机操作系统安全配置规范桌面终端操作系统安全配置规范数据库系统安全配置规范,安全基线概述安全基线规范展示,网络设备安全配置规范安全设备安全配置规范主机操作系统安全配置规范桌面终端操作系统安全配置规范数据库系统安全配置规范,安全基线概述安全基线规范展示,网络设备安全配置规范安全设备安全配置规范主机操作系统安全配置规范桌面终端操作系统安全配置规范数据库系统安全配置规范,源代码审计是由具备丰富的编码经验并对安全编码及应用安全具有很深刻理解的安全服务人员,根据一定的编码规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行审查。
源代码审计,支持的编程语言,JavaC/C+.NET(C#和VB)PHPPython,代码风险点不安全的编程习惯在执行数据库访问、文件读写、命令执行等操作时,未对输入数据进行严格控制。
不安全的加密算法使用了有缺陷的算法保护敏感数据,例如:
使用MD5算法存储用户密码,并且没有进行加盐(salt)操作。
异常处理不完善程序中存在空指针引用问题,导致程序解析特殊文件时崩溃。
会话管理存在缺陷使用了不安全的随机数生成器,导致会话令牌可预测。
源码审计服务特性,特征批量识别代码100%覆盖,批量识别,业务隐藏较深问题点未知的参数接受接口,隐蔽发掘,防护规则透明绕过分析便捷,绕过分析,渗透测试VS代码审计,结合业务场景识别基础环境,识别特征漏洞全量识别分析,白盒代码审计,基于源代码,基于运行中的应用隐蔽功能点识别效果差黑盒渗透测试,结合业,绿盟科技源码审计服务内容,系统业务调研工具特征扫描,业务风险分析,人工代码审计,方式:
代码审计工具:
Fortify等,内容:
白盒测试,通过对获取到的系统源代码进行分析,检查在编码层面是否存在安全隐患,对发现的问题提供安全建议,绿盟科技源码审计服务内容,工具扫描,人工确认,抽查分析,恶意入侵恶意资源消耗病毒爆发内部安全事故,事件响应入侵追踪和取证,入侵追踪犯罪取证事后安全分析和加固,灾难恢复(协助客户完成)系统安全恢复应用服务安全恢复数据安全恢复网络性能安全恢复网络病毒灾难恢复,服务范围:
网站页面被篡改系统被安装木马敏感数据泄漏大量帐号被盗网络蠕虫传播异常流量攻击,应急响应服务,服务目标:
采取紧急措施和行动,恢复业务到正常状态;
调查安全事件发生的原因,避免同类事件再次发生;
在需要司法机关介入时,提供法律认可的数字证据。
服务方式:
现场&
非现场。
应急响应流程,安全培训服务,3,认证培训CISP-注册信息安全专业人员(5天)CISSP-注册信息提供安全专家认证(5天)CISA-注册信息系统审计师认证(5天)ISO27001信息安全管理体系主任审核员(4天),定制开发培训可根据客户实际需要开发并提供定制培训课程套餐外授课内容,满足客户多样化的培训需求,量身打造定制化的培训课程。
标准培训每年组织7-9期公开课,学员培训通过后,可获得绿盟科技认证信息安全工程师证书。
定制培训课程套餐CTF竞赛培训(初、中、高)安全运维基础课程企业安全运营专题应用安全开发生命周期体系应急响应课程(基础,进阶),客户培训业务分类,按培训名额报价,绿盟提供授课,按授课天数报价,总部标准客户培训,CISP,CISSP等安全人员认证培训外部机构授课,培训课程套餐,定制培训课程,认证培训内训课*,客户培训业务分类,*:
日常需求较少,需特殊申请处理。
第三方认证培训清单,CISP国家注册信息安全专业人员认证(5天)CISP-PTE国家注册信息安全渗透测试工程师(10天)CISSP注册信息系统安全专家认证(5天)CISA注册信息系统审计师认证(5天)ISO27001信息安全管理体系主任审核员认证(4天)C-CCSK云计算安全基础知识认证(2天)PMP项目管理国际认证培训(5天),谢谢!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 服务 入门