《黑无止境之业务逻辑“漏洞”》知道创宇云安全 锅涛.pdfVIP

黑无止境 业务逻辑“漏洞” 锅涛 高级安全顾问 关于我 l 知道创宇高级安全顾问 l 攻防研究爱好者 l IMPERVA 高级安全工程师 l Paloalto 高级安全顾问 l McAfee 高级安全工程师 业务多样化发展 有“利益”的地方就有“黑客” 有 “利益”的地方就有伤害（hei）害（ke） 也许各位已经对以下漏洞“司空见惯” Webview远程代码执行 AES/DES弱加密 Webview明文存储密码 SharedPrefs任意读写 密钥硬编码风险 应用漏洞 注入攻击 CSRF WebView不校验证书 随机数生成函数使用错误 中间人攻击 从黑客攻击角度分析未来攻击的主战场 平衡攻击成本 设计缺陷漏洞利用 盗窃资产窃取敏感信息 黑客为什么要平衡攻击成本 为何”业务逻辑漏洞”成为黑客的主战场 u资深程序员也在劫难逃 u安全开发人员的天敌 u迄今为止“它”没有天敌 u逃逸各种防护 . . . . . . . . 黑无止境的根源 业务发展迅速 开 发