Fish_Ou - 博客园

2015年1月9日

摘要： 1、策略性原则： 1.1、用户拥有知情权和选择权。 1.2、站点不得将数据用于指定范围外的用途。 1.3、内部员工无法直接接触敏感数据。 1.4、快速地应急响应和用户通知机制。 1.5、遵循行业的安全标准（比如PCI-DSS）。 2、技术层面的保护： 2.1、数据隐私保护技术：（1）、认证。（2）、访问控制。（3）、加密和散列。 2.2、数据库隐私保护技术：（1）、... 阅读全文

posted @ 2015-01-09 09:42 Fish_Ou 阅读(298) 评论(0) 推荐(0)

2015年1月8日

Web安全测试指南--文件系统

摘要：上传：编号 Web_FileSys_01 用例名称上传功能测试用例描述测试上传... 阅读全文

posted @ 2015-01-08 08:58 Fish_Ou 阅读(706) 评论(0) 推荐(0)

Web安全开发指南--异常错误处理与日志审计

摘要： 1、异常错误处理与日志审计 5.1、日志审计系统安全规则 1 日志系统能够记录特定事件的执行结果（比如成功或失败）。确保日志系统包含如下重要日志信息： 1、日志发生的时间； 2、 ... 阅读全文

posted @ 2015-01-08 08:56 Fish_Ou 阅读(696) 评论(0) 推荐(0)

2015年1月7日

[漏洞检测]Proxpy Web Scan设计与实现（未完待续）

摘要： Proxpy Web Scan设计与实现 1、简介： Proxpy Web Scan是基于开源的python漏洞扫描框架wapiti改造的web漏洞扫描器，其主要解决以下几个问题而生：（1）、当前互联网业务处于快速发展阶段，由于小版本更新迭代快，很难做到发布前必定经过安全测试。此外，安全小组面临安全人员不足和人工安全测试重复性工作过高的问题，（2）、当前业界的漏洞扫... 阅读全文

posted @ 2015-01-07 19:08 Fish_Ou 阅读(1404) 评论(2) 推荐(0)

[工具开发]Proxpy Web Scan设计与实现

摘要：组内交流培训阅读全文

posted @ 2015-01-07 17:33 Fish_Ou 阅读(381) 评论(0) 推荐(0)

WiFi安全测试工具、蹭网利器–WiFiPhisher（转）

摘要：读后感：看了一下官方介绍，需要2张无线网卡的支持，其中一张应该是用来影响用户和正常热点的连接，即进行dos攻击，而另外一张可以模拟一个假AP等待用户接入，这种攻击将对物联网和智能家居安防等产品造成很大影响，具体见本人的文章《门磁报警系统破解猜想》原帖地址：http://www.freebuf.com... 阅读全文

posted @ 2015-01-07 13:01 Fish_Ou 阅读(1801) 评论(0) 推荐(0)

移动应用安全开发指南(Android)--Android组件和IPC

摘要：概述移动应用开发中，往往有跨进程通信的需求，方便地实现程序间的数据共享。Android提供了多种IPC通信的方式，给开发人员带来了便利，但如果选择或使用不当，就有可能发生各种各样的风险。 ... 阅读全文

posted @ 2015-01-07 08:59 Fish_Ou 阅读(1052) 评论(0) 推荐(2)

移动应用安全开发指南（Android）--数据传输

摘要：概述移动应用很多时候并非孤立存在，在多数场景下存在前、后台以及第三方服务之间进行数据交互，因此，在网络中传输敏感数据在所难免，如果不使用正确安全的传输方式，有可能存在敏感信息泄漏的风险。 ... 阅读全文

posted @ 2015-01-07 08:52 Fish_Ou 阅读(1280) 评论(0) 推荐(1)

Web安全测试指南--信息泄露

摘要： 5.4.1、源代码和注释：编号 Web_InfoLeak_01 用例名称源代码和注释检查测试 ... 阅读全文

posted @ 2015-01-07 08:48 Fish_Ou 阅读(1950) 评论(0) 推荐(0)

Web安全开发指南--数据验证

摘要： 1、数据验证 4.1、输入数据验证安全规则 1 数据验证必须放在服务器端进行。 2 至少对输入数据的数据类型、数据范围和数据长度进行验证。 ... 阅读全文

posted @ 2015-01-07 08:47 Fish_Ou 阅读(1318) 评论(0) 推荐(0)