漏洞盒子对电商企业安全的保障的见解和实践过的经验
漏洞攻击趋势
• 普通漏洞--->业务逻辑漏洞(支付,金额,用户数据相关的逻辑 漏洞)
• Web应用漏洞--->APP漏洞/各类API接口/微信接口漏洞
• 一次性攻击--->APT(高级持续性威胁)攻击
核心:盗取用户数据,获取金钱利益
面临问题 • 技术层面
• 来自外部的黑客攻击,非授权访问;数据库数据被非法下载,篡改等; • 管理层面
• 主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范; 研发运维缺乏安全意识带来的安全隐患等等
电商安全模型
2021-08-07 09:00:49
3.52MB
Hearmen – 北京大学软件安全研究小组成员。 Flash 作为现阶段互联网上广泛使用的一种多媒体文件类型,其自身的安全性深刻的影响着几乎所有的互联网用户。本议题将从 Flash 虚拟机对于内存管理的实现入手,与大家分享其在内存分配上的几个特点,以及由此实现的几种较为通用的 Flash 漏洞利用方法。
目录
AVM2 虚拟机简介
CVE-2015-0313
CVE-2015-3043
CVE-2015-5119
2021-08-07 09:00:46
1.51MB
通过一个14天学习漏洞挖掘的Plan,列举并讲解了漏洞挖掘相关的知识及工具
第一周
• 第1天(周一): Web漏洞扫描
• 第2天(周二): Web手动测试
• 第3天(周三): Web代码分析
• 第4天(周四): 代码静态分析
• 第5天(周五): 代码编译分析
• 第6~7天(周末): 知识库
第二周
第8天(周一): 静态反编译分析
第9天(周二): 动态二进制调试分析
第10天(周三): Fuzzing协议和文件
第11天(周四): Fuzzing ActiveX
第12天(周五): POC实现
第13~14天(周末): 示例漏洞分析
2021-08-07 09:00:22
313KB
ppt漏洞挖掘思想,浅谈Web业务&应用逻辑缺陷,我的Web应用安全模糊测试之路,WEB安全-兵器剖析,WEB安全漏洞攻防-基础。WEB安全入门基础,WEB安全-杂类知识
2021-07-22 10:55:21
36.39MB
1
为解决传统漏洞挖掘方法不能在工控系统中直接应用的问题,提出一种基于模糊测试的
工控网络协议漏洞挖掘方法。使用工控网络协议测试用例变异因子生成协议特征值,每个变异因子
代表一类工控系统漏洞的特征。变异因子结合 Modbus TCP 协议特征生成不同的测试用例。通过
Modbus TCP 请求与响应的协议特征对应关系和旁路监听方法解决难以确定测试用例是否有效的问
题。为对工控私有协议进行模糊测试,建立了工控私有协议树,并对私有协议数据集进行了分类。
采用可变字节值概率统计方法、长度域学习方法、Apriori 和 Needleman/Wunsch 算法学习私有协议
特征,有效地提高了私有协议的测试用例接收率。通过对真实工控设备的实验分析,证明了该方法
能够有效检测工控公有、私有协议的漏洞
2021-07-13 16:49:02
838KB
1