安全测试销售内部培训-第一期培训课件.pptx

安 全 测 试 目录 为什么要做安全测试 本地安全 传输层安全 服务端数据 凡是能直接利益/间接利益的，黑客都愿意去攻击或尝试 今天是免费的资源，明天可能是重要的资产 4 反面案例 © Testin, All Rights Reserved 截至2014年8月，中国移动用户达到12.67亿，其中移动宽带用户（3G、4G）占比超过40%，达到5.1亿户；国内智能手机用户占比达到66%，三分之二的手机用户已经完成了智能化升级；通过手机上网网民比例达到83.4%，手机首次超越PC成为第一大上网终端。移动互联网的发展，不仅极大地方便了人的生活，也带来了诸如：个人隐私安全、个人信息安全以及个人财产安全等问题 案例：百度SDK漏洞（ “全家桶”安全丑闻） 美国安全公司Trend Micro称，百度开发的一个SDK（开发包工具）存有安全漏洞，给黑客留下了后门，黑客可以访问普通用户的设备，在安卓手机上上传恶意程序，并且执行程序 这个出现问题的开发包工具名为“Moplus”，会在安装感染程序的智能手机上，运行一个HTTP服务器程序，这个服务器程序对访问者不进行身份验证，可以接受互联网上所有人的访问请求 这个HTTP服务器处于藏匿的状态，网络黑客可以通过这一服务器执行恶意程序，另外可以从智能手机上收集个人隐私信息，比如所处的地理位置，进行过的历史搜索，另外还可以在通讯录中增加记录，拨打电话，安装其他的恶意程序 5 反面案例 © Testin, All Rights Reserved 随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，Web业务的迅速发展也引起黑客们的关注，Web安全威胁逐步凸显，黑客利用网站OS的漏洞和Web服务程序的SQL注入漏洞等，得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，甚至在网页中植入恶意代码，使得网站访问者受到侵害 案例：CSDN 600余万用户资料泄密 2011年12月21日，CSDN网站600余万用户数据库泄密，中国最大的开发者技术社区，使用明文保存用户密码，导致敏感信息泄露 6 反面案例 © Testin, All Rights Reserved 国家政策支持 国家提倡科技创新，互联网创业有国家政策支持，百家创业，万家互联等，创业前期更多关注业务层面，对安全关注力度较少，一旦发生攻击对一个企业冲击是巨大的 案例：携程信用卡泄漏事件（2014年） 携程安全支付日志可下载，导致大量用户银行卡信息泄露，包含持卡人姓名、身份证、所持银行卡类别、银行卡号、卡CVV码、6位卡Bin（用于支付的6位数字） 携程明文保存了用户相关机密信息，已经违反银联的相关规定。同时，明文存储用户密码等核心信息，在安全上非常危险并且做法业余 2015年安卓APP研究报告 2015年安卓APP研究报告 产品介绍 环境安全 业务安全 通讯安全 应用安全 服务端安全 数据安全 用户安全 产品介绍 重点 数据安全 服务端安全 业务安全 通讯安全 产品介绍 数据安全 键盘劫持检测 防止木马病毒类程序对用户的键盘输入进行记录，从而窃取账号、密码等重要信息 防屏幕录制检测 防止木马病毒类程序对用户关键操作的屏幕进行录制记录，从而窃取账号、密码等重要信息 信息显示安全 防止敏感信息明文显示很容易被木马病毒类程序以截屏、视频录像等方式窃取 本地存储安全检测 防止存储在本地敏感信息被第三方程序窃取和篡改（邮箱、电话号码、IP、URL、账号、密码等） 本地文件权限检测 检测APP客户端安装目录权限是否设置不当，造成目录内容可以被第三方程序窃取和篡改 数据清除检测 防止APP敏感数据泄漏 产品介绍 业务安全 越权访问检测 防止恶意用户非法对其他合法用户越权变更用户记录以及执行事务（账号信息、转账等）。 信息提示检测 防止用户在APP输入密码时被恶意软件劫持导致敏感信息泄漏 数据有效性检测 防止积分、转账等功能被恶意利用导致开发者利益受损 产品介绍 服务端安全 漏洞扫描检测 防止黑客利用服务器端存在的安全漏洞入侵APP系统 敏感信息泄露检测 防止黑客利用服务器端返回的敏感信息进行精确的漏洞攻击入侵APP系统 产品介绍 通讯安全 传输协议分析 使用不安全的通信协议可能导致用户的敏感信息（登陆/支付密码等）在网络传输过程中泄漏 身份认证检测 防止APP客户端连接到恶意的服务端导致用户的敏感信息泄漏 重放攻击检测 防止APP出现短信炸弹等安全问题 断网会话检测 防止APP客户端断网重新连接后，连接到恶意的服务端导致用户的敏感信