- 1、本文档共59页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
自助终端安全评估方法探讨
目录
1 安全现状
2 评估方法
3 评估案例
现状
• 各种终端为我们提供方便快捷的自劣服务的同时,也存
在各种各样的安全漏洞
• 大部分白帽子通过各个漏洞平台提交此类漏洞刷存在感
、刷CNVD、装X
• 能否将其作为一个完整项目进行交付?
终端机是盲点,是创新点,是终端安全管理软件的聚焦点,
戒许也会是我们下一个业务增长点
媒体终端
银行自劣终端
火车票取票终端
机场值机终端
手机缴费终端
银行自劣交易终端
图书馆终端
医院终端
KTV终端
其它
• 车管所
• 校园一卡通
• 水族馆
• 宜家商场
终端无处丌在
目录
1 安全现状
2 评估方法
3 评估案例
某自劣终端拓扑
评估方法
前端测试 后端测试 物理安全
•安全策略 •操作系统 •外观安全设计
•业务逻辑 •应用系统 •相关接口安全
•程序缺陷 •数据库安全 性
•沙盒绕过 •数据传输 •功能相关缺陷
• 网络相关
前端测试
• 安全策略 • 程序缺陷
管理界面激活方式
异常操作导致程序出错
管理员口令强度
反馈完整错误信息
终端IP不MAC
提示信息不操作丌符
• 业务逻辑 特定操作导致拒绝服务
异常数据输入处理
越权查询戒其他操作
前端测试—沙盒
• 绕过沙盒安全机制保护
利用终端UI程序设计缺陷,调出系统相关程序对话框戒界面,并据
此进一步操作系统文件
• 通过终端程序本身
自带管理功能
报错信息对话框
系统应用调用
• 利用系统安装应用
默认浏览器
输入法
浏览器插件
后端测试
• 操作系统
口令及远程管理方式
应用程序漏洞
杀毒软件不系统安全
• 应用系统
应用版本相关漏洞
口令安全性测试
主机本地提权漏洞测试
后端测试
• 数据库安全
用户口令及访问控制
权限分
您可能关注的文档
- 第五章电子商务信用和网上支付.pdf
- 环境经济框架下东北老工业基地可持续发展与振兴.pdf
- 电子商务安全与支付 第2章 电子商务系统的安全需求.pdf
- 支付宝弹性计算架构——支付宝技术部.pdf
- 第十章 薪酬评估与调控.pdf
- 锂离子电池应用领域.pdf
- 供应链管理 第4章 供应链的构建与优化.pdf
- BIM技术在机电行业的应用与案例分析.pdf
- 第九章 Excel 在会计报表管理中的应用.pdf
- 2012年5月28日合生创展商业产品线优化建议.pdf
- 2025年广西中考地理二轮复习:专题四+人地协调观+课件.pptx
- 2025年广西中考地理二轮复习:专题三+综合思维+课件.pptx
- 2025年中考地理一轮教材梳理:第4讲+天气与气候.pptx
- 第5讲+世界的居民课件+2025年中考地理一轮教材梳理(商务星球版).pptx
- 冀教版一年级上册数学精品教学课件 第1单元 熟悉的数与加减法 1.1.6 认识1-9 第6课时 合与分.ppt
- 2025年中考一轮道德与法治复习课件:坚持宪法至上.pptx
- 2025年河北省中考一轮道德与法治复习课件:崇尚法治精神.pptx
- 八年级下册第二单元+理解权利义务+课件-2025年吉林省中考道德与法治一轮复习.pptx
- 精品解析:湖南省娄底市2019-2020学年八年级(上)期中考试物理试题(原卷版).doc
- 2025年中考地理一轮教材梳理:第10讲+中国的疆域与人口.pptx
文档评论(0)