大量带有支付模块的移动 APP 随着移动互联网的发展越来越多，然而，由于开发者缺乏支付安全的知识储备与开发经验，导致大量APP存在或多或少的安全支付漏洞。此外，很多电商网站开发过程中使用了开源代码，存在大量安全漏洞，一旦更新不及时，也会存在严重的支付安全风险。由于支付过程涉及金钱，因此支付安全漏洞较之其他类型的安全漏洞具有更高的敏感性和危害性。在本次演讲中，我们将介绍和总结15种不同类型的支付漏洞，分别源于移动端和 web 端。这些漏洞都是来自实际生产环境中，包括我们以及微软亚洲研究院研究发现。大部分 web 端的支付安全漏洞与移动端是通用的，但是由于移动端的环境更为复杂，加之移动开发者的开发质量不一，导致了更多不同类型的移动端支付安全漏洞。 Web 3.0时代的 安全漏洞 那些“便宜的” 商品 全场景的支付安全保护模型 Thanks & QA

在智能设备普及的今天，App 已经成为人们日常不可或缺的伙伴，而很多的 App 都内置了网页浏览的功能。Chrome V8 作为开源的高性能 JS 引擎，几乎垄断了整个 App 市场，成为网页浏览必不可少的组件。我们团队最近在 Chrome V8 引擎 3.20 至 4.2 版中发现了一个很有趣的漏洞，由于源代码中的一个笔误, 造成关键对象信息泄露，从而可以导致任意代码执行，我们将该漏洞命名为 BadKernel。Chrome Mobile、Opera Mobile，以及基于 Android 4.4.4 至 5.1 版本系统的 WebView 控件开发的手机 App 均可能受该漏洞影响，普遍存在于包括 LG、三星、摩托罗拉、华为、HTC 等大部分热门手机中。据估算，全球大约每十六台 Android 手机中，就有一台受到 BadKernel 漏洞影响。同时，BadKernel 漏洞也位于 X5 内核中，X5 内核是经定制过的 chrome 浏览器内核，所有使用了 X5 内核的应用都可能都受到此漏洞的影响，而微信、手机QQ、QQ空间、京东、58同城、搜狐视频、新浪新闻等应用都使用了 X5 内核，直接影响到数亿用户的安全。 本次演讲中，将首先介绍 JavaScript 的一些容易被攻击的特性，V8 的分析调试技巧，然后介绍 BadKernel 漏洞的利用过程。

漏洞盒子对电商企业安全的保障的见解和实践过的经验 漏洞攻击趋势 • 普通漏洞--->业务逻辑漏洞(支付,金额,用户数据相关的逻辑 漏洞) • Web应用漏洞--->APP漏洞/各类API接口/微信接口漏洞 • 一次性攻击--->APT(高级持续性威胁)攻击 核心:盗取用户数据,获取金钱利益 面临问题 • 技术层面 • 来自外部的黑客攻击,非授权访问;数据库数据被非法下载,篡改等; • 管理层面 • 主要表现为人员的职责、流程有待完善,内部员工的日常操作有待规范; 研发运维缺乏安全意识带来的安全隐患等等 电商安全模型

开源安全基线扫描工具

安全基线扫描脚本

ZooKeeper 未授权访问【原理扫描】，zookeeper安全漏洞修复方法和操作步骤

安全整改报告模板

fofa+xray批量刷洞脚本，非常有用，fofa+xray批量刷洞脚本敬请期待特别好，fofa+xray批量刷洞脚本

道哥的书，值得一看。

IBM Rational AppScan Enterprise Edition 7.7.654（官方原版安装文件+破解key文件） 分卷压缩包 Part 1 IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具，它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作，以往都是由人工进行，成本相对较高，但是效率却非常低下)，还可以根据发现的安全隐患，提出针对性的修复建议，并能形成多种符合法规、行业标准的报告，方便相关人员全面了解企业应用的安全状况。