蔡致远-从应用场景看金融安全 逻辑为王.pdfVIP

从 应 用 场 景 看 金 融 安 全 — — 逻 辑 为 王 蔡致远 安恒信息 关于我 • 法国大学在读 主攻金融安全研究 • 安恒信息雷神众测 安全专家 • 微博安全应急响应中心 安全专家 • Hack Inn安全议题分享平台 运营者 • Packer Fuzzer开源检测工具 作者 蔡致远 • 《微信小程序的渗透五脉》 作者 Poc Sir 金融安全现状 加固厂商加固 加固 APP/H5 混淆、反调试、虚拟化 × 无法直接展开测试分析 一次或多次加密 加密 明文数据 加密数据 × 无法直接篡改数据内容 部署多个安全设备 安全设备 WEB服务 拦截攻击流量 × 无法直接发送攻击请求 三道门槛拦截住绝了大部分攻击者，但也拦截住了绝大部分企业渗透测试人员 系统安全性得无法得到全面测试，看似安全实则脆弱 金融安全现状 安全设备 安全设备 WEB服务 拦截攻击流量 POST: ‘1or 1=1 × 一次或多次加密 加密 明文数据 加密数据 POST: 1234567 POST: Aj5yh… POST: ‘1or 1=1 POST: Da7hd… 金融安全现状 加密 + 安全设备 = 0 POST: ‘1or 1=1 POST: Da7hd… 数据无异常，放行 POST: ‘1or 1=1 × 网络安全防护，有时并不一定是安全措施叠加越多越好 标品WAF无法适应流量全加密的金融环境 对它来说攻击数据和普通数据加密后没有任何区别 金融安全现状 信托 保险 其他