16.安全整改.part3
文章目录
- 应用安全整改
- 移动应用
- 安卓
- 苹果
- 安全制度整改
这里继续讲等保的整改,这节讲讲应用安全整改和安全制度整改。后续工作就是等保报告了,这块就按模板填写,不写了。
应用安全整改
应用根据目前2.0的体系,里面包含很多内容,大数据、工控、物联网、移动应用、以及常规应用:B/S、C/S。这里简单列几个。整改是要根据渗透报告来做的,测评人员在形成渗透报告过程用要有详细的操作描述和对应的截图。类似一些WEB可以有工具进行扫描并出报告,下面以移动应用为例给出大概内容。
移动应用
安卓
1简介
2检测依据
3安全评估工具
4检测结果评定标准
5应用基本信息
6安全分析结果统计
7具体分析流程及解决方案
7.1程序/代码安全
7.1.1源码反编译安全
7.1.2二次打包安全
7.1.3签名校验安全
7.1.4so文伴安全
7.1.5H5代码安全
7.1.6代码混淆安全
7.1.7DEX动态加载风险
7.1.8apk升级机制检测
7.2调试安全
7.2.1模拟器检测
7.2.2Debug属性安全
7.3数据安全
7.3.1Logcat输入日志安全
7.3.2界面劫持安全
7.3.3敏感信息内存加密
7.3.4安全键盘检测
7.3.5防截屏检测
7.3.6SQLite 数据明文储存
7.3.7SDCard储存敏感资源
7.3.8allowbackup备份风险
7.4安全漏洞分析
7.4.1四大组件安全
7.4.2拒绝服务漏洞
7.4.3WebView远程代码执行
7.4.4WebView忽略SSL证书漏洞
7.4.5内网测试信息残留漏洞
7.4.6文件遍历漏洞
7.4.7本地SQL注入
7.5传输协议安全
7.5.1数据明文传输
7.5.2HTTP协议安全
7.6身份鉴别安全
7.6.1第三方登录缺陷
7.6.2任意用户登录漏洞
7.6.3恶意注册检测
苹果
1简介
2检测依据
3安全评估工具
4安全检测结果
4.1安全检测结果汇总
4.2安全检测概览
5.检测结果分析
5.1基本信息检测
5.2客户端程序安全
5.2.1敏感脚本代码加密保护
5.2.2敏感资源文件加密保护
5.2.3远程调试权限检测
5.2.4应用完整性检测
5.3敏感信息安全
5.3.1Plist 等文件明文存储敏感信息检测
5.3.2本地数据库敏感信息检测
5.3.3 Log日志打印敏感信息
5.3.4秘钥链数据存储安全
5.4应用安全规范
5.4.1随机布局软键盘保护
5.4.2敏感界面截屏和录屏保护
5.4.3键盘缓存检测
5.4.4越狱环境检测
5.4.5应用后台运行模糊处理保护
5.5账号安全
5.5.1密码复杂度检测
5.5.2账号登录限制
5.5.3账号锁定策略
5.5.4UI信息泄露
5.5.5安全退出
5.5.6验证码安全性
5.5.7手势密码修改和取消
5.5.8手势密码本地信息保存
5.5.9手势密码锁定策略
5.6通信安全
5.6.1通信加密保护
5.6.2关键字段传输加密
5.6.3证书有效性校验
5.6.4客户端更新安全性
5.7业务逻辑安全
5.7.1用户名枚举
5.7.2短信轰炸
5.7.3任意文件上传漏洞
5.7.4XSS 跨站脚本检测
5.7.5外部服务交互漏洞
5.7.6跨域资源共享漏洞
安全制度整改
这块是比较好拿分的项目,就是整理各种规章制度,整改成本较低,测评公司一般都会提供相应的模板,下面就列举一些常见的制度:
《安全管理体系总纲》
《安全规划方案》
《组织体系和职责》
《岗位人员管理办法》
《培训及教育管理办法》
《第三方人员安全管理办法》
《信息资产管理办法》
《终端安全管理办法》
《项目立项安全管理制度》
《运行维护管理制度》
《安全风险评估管理办法》
《安全预警管理办法》
《安全补丁管理办法》
《安全策略管理办法》
《病毒防护管理办法》
《数据备份管理制度》
《变更管理办法》
《变更申请表》
《技术资料安全管理制度》
《安全产品采购及使用管理制度》
《帐号、口令及权限管理办法》
《远程接入安全管理办法》
《网络互联安全管理办法》
《数字证书使用管理办法》
《采购管理暂行办法》
《安全监控及审计管理制度》
《第三方软件开发外包管理办法》
《应急响应管理办法》
《安全事件管理办法》
《检查及考核管理制度》
《操作系统安全规范》
《应用系统安全规范》
《数据安全规范》
《网络设备配置规范》
《安全设备通用配置规范》
《应急技术安全规范》
《安全补丁管理流程》
《安全策略管理流程》
《变更管理流程》
《办公网络环境第三方人员访问申请审批流程》
《终端安全处理流程》
《应急响应流程》
《帐号安全管理流程》
《安全事件处理流程》
《业务连续性管理办法》
《总体应急预案》
《应急演练计划》
《机房管理制度(人员)》
《软件开发安全协议》
《软件开发安全要求》
《软件开发安全编程指南》
《存储介质管理办法》
《主机故障恢复策略》
这里要注意,弄了制度后有一些相应的表格需要有相应的记录,例如:机房出入记录表、安全培训记录表、厂商联系表。也就是相应的过程文件要有。
制度应该做成正规的文件,类似红头文件为佳,起码有公司的盖章。
16.安全整改.part3相关推荐
- 常见安全漏洞及整改建议
引用:http://www.shangxueba.com/jingyan/1603262.html 1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site reques ...
- 四海八荒齐聚,200家企业引爆温州乌市 “数据浪潮”
4月18.19日,携带全新的数据解决方案与标杆企业案例,帆软百城巡展走先后进温州.乌鲁木齐两城,东西两城联动,引爆了一场数据盛宴.令人格外惊喜的是,此次乌鲁木齐站现场十分给力,到场的企业100有余,天 ...
- 实现手机来电铃声,通知铃声、警告铃声等音频定制化功能(三,多媒体扫描结果定制处理)
本篇博文主要是对MediaScanner中endFile方法的处理流程上的重构,以实现需求中的资源区域化定制.处理思路为首先扫描定制分区中的资源,在扫描系统分区下默认资源时判断定制分区西下是否已经存在 ...
- sqlserver错误码
错误 6,000 到 6,999 错误 严重性 是否记录事件 说明 6001 10 否 SHUTDOWN 正在等待 %d 个进程完成. 6004 10 否 用户没有执行此操作的权限. 6005 10 ...
- Linux平台 Oracle 18c RAC安装Part3:DB配置
四.DB(Database)配置 4.1 解压DB的安装包 4.2 DB软件配置 4.3 ASMCA创建磁盘组 4.4 DBCA建库 4.5 验证crsctl的状态 Linux平台 Oracle 18 ...
- 开关电源雷击浪涌整改_大佬多年经验总结,开关电源EMI整改策略
以下是作者分享有关开关电源EMI整改的多年经验总结,包括:开关电源设计前 EMI 一般应对策略,开关电源设计后 EMI 的实际整改策略等,总共有 99 条经验,希望能帮助大家. EMC的分类及标准: ...
- 顺丰同城:香港IPO发行价定为16.42港元
12月13日消息,顺丰同城在港交所发布公告,发售价已定为每股16.42港元. 根据发售价16.42港元计,于扣除承销费用及本公司就全球发售应付的其他估计开支后,公司自全球发售收取的所得款项净额约为20 ...
- 12家存在低俗内容的网络文学企业被约谈:严肃查处 深入整改
据人民网消息,7月15日至17日,国家新闻出版署约谈了咪咕阅读.天翼阅读.网易文学.红袖添香网.起点中文网.追书神器.爱奇艺文学等12家企业,对近期发现的网络文学内容低俗问题,提出严肃批评,责令全面整 ...
- 因低俗色情网络文学作品 多个知名小说平台停更整改
7月15日,按照全国"扫黄打非"办公室部署,北京市.上海市"扫黄打非"办公室联合网信.新闻出版和文化执法等部门分别对晋江文学城.番茄小说.米读小说运营企业进行约 ...
最新文章
- HarmonyOS之深入解析Ability的功能和使用
- php带来互联网的影响,网络对我们的影响有哪些?
- MVC传递Model
- python 3.6连接数据库(pymysql方式)
- Java ForkJoin 框架初探
- 通过bash脚本分析zabbix数据库,实现服务器每日故障统计
- 浅析pc机上如何将vmlinuz-2.6.31-14-generic解压出vmlinux
- Hibernate之多对多映射
- 信呼协同办公系统-存储型XSS漏洞
- 移动开发之设计模式- 中介者模式(IOSAndroid)
- 免费分享:5本安卓开发经典书籍,Android 7编程入门经典(第4版),Android底层驱动分析和移植,底层驱动分析和移植
- Python3.8+OpenCV4 实现二维码扫码
- 基于springboot的汽车租赁管理系统的设计与实现
- vue 接入萤石云,实现监控、多窗口监控、转向、放大缩小等
- VMware14 黑屏
- 怎样把几个pdf合并成一个?几个pdf文件怎么合并为一个?
- 【学习】MybatisPlus + ShardingSphere 分表对象使用updateById方法自动补齐分表属性
- (更改)作业:会员制营销与EMAIL营销
- 杭州市旅游资讯网站设计与实现
- 工地上的石头太硬挖机打不动怎么办