- 博客(52)
- 收藏
- 关注
RSS订阅原创 APP违法违规收集使用个人信息合规评流程和范围
近期,工信部通报2023年第1批《侵害用户权益行为的APP通报》(总第27批),共通报46款APP(SDK),这些被责令限期整改的APP(SDK),涉及的问题主要包括3个方面:收集个人信息明示告知不到位、超范围和强迫收集个人信息。因此,为了避免因违法违规而造成APP被下架、被责令限期整改,建议企业应当及时开展APP内部合规审查与评估工作,通过APP违法违规收集使用个人信息合规评估及时发现潜在的数据安全与个人信息保护风险点,并制定相应的解决方案,以实现企业的合规经营。
2023-03-09 16:22:29
731
原创 什么是信息安全风险评估?企业如何做?
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。具体工作流程如何?
2023-03-08 13:11:07
490
原创 什么是密码应用安全性评估?多久做一次密码应用安全性评估?
密码应用安全性评估简称密评,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。密码应用安全性评估不仅对规范密码应用具有重大意义,同时对维护网络与信息系统密码安全,切实保障网络安全,都具有不可替代的重要作用。
2023-03-07 16:27:13
754
原创 一看就懂,等保2.0工作流程这么做
等保2.0相关国家标准于2019年12月1日开始实施,标志着我国网络安全等级保护工作进入一个崭新的阶段,对于加强我国网络安全保障工作,提升网络安全保护能力具有十分重要的意义。很多行业主管单位要求行业客户开展等级保护工作,合理地规避风险。建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。那么,等保2.0的工作流程是如何的?要如何进行?对此有疑问的大家赶快来了解一下吧。
2023-03-06 17:19:09
450
原创 企业为什么需要做APP安全评估?
APP安全评估则是一个具有高度针对性的技术评估服务,它的重点在于通过对网络通讯、服务器端、客户端、数据和业务逻辑等多个层面进行细致的梳理、测试和分析,发现APP业务方面面临的违规问题及安全漏洞。具体意义和方法如下:
2023-03-03 17:12:09
829
原创 安全配置检查的必要性?以及检查流程
安全配置检查为操作系统(也包括网络设备和安全设备等)、数据库、中间件、第三方应用和业务系统可更改的配置中与安全相关的设置参数,版本,补丁等信息。具体操作流程如下
2023-02-27 17:51:11
325
原创 常见代码审计工具,代码审计为什么不能只用工具?
代码审计是一种发现程序漏洞,安全分析为目标的程序源码分析方式。今天主要分享的是几款常用的代码审计工具,以及代码审计工具有哪些优缺点?
2023-02-25 16:56:21
1098
原创 渗透测试工具有哪些?为什么不建议只用工具?
目前市面上的渗透测试的工具过多,很多用户不知道要如何选择?本期,小编对主要的渗透测试工具进行了顺利,并整理了工具的优劣,有需要的可以一起来了解一下。
2023-02-24 17:53:50
638
原创 代码审计方式和常见漏洞类型有哪些?
黑客通常利用的漏洞有:软件编写存在bug、设计存在缺陷、系统配置不当、口令失窃、嗅探未加密通讯数据、系统攻击等等,因此提前做好代码审计工作,非常大的好处就是将先于黑客发现系统的安全隐患,提前部署好安全防御措施,保证系统的每个环节在未知环境下都能经得起黑客挑战,可以进一步巩固客户对企业及平台的信赖。
2023-02-23 17:52:26
767
原创 浅谈什么是web应用防火墙(WAF)
Web应用防火墙,简称 WAF,是用来监控、过滤和拦截可能对网站有害的流量,避免网站服务器被恶意入侵导致服务器性能异常等问题,保障网站的业务安全和数据安全。
2023-02-22 17:56:31
596
原创 哪种类型的网络安全风险需要进行渗透测试?
渗透测试是一种从攻击者的角度来对客户授权的测试目标进行安全评估的手段,在对现有信息系统不造成损害的前提下,由具备高技能和高素质的安全服务人员发起,并模拟常见黑客所使用的测试手段对目标系统进行模拟入侵。可以清晰知晓系统中存在的安全隐患和问题。那么哪些网络安全风险需要进行渗透测试呢?
2023-02-21 17:51:28
616
原创 如何选择可以满足合规要求的日志审计系统?
日志审计系统(平台)通过采集信息系统中的各种信息,如系统安全事件、用户访问记录、系统运行日志、系统运行状态等,经过标准化、过滤、合并、报警分析,以日志的形式统一存储和管理,结合丰富的日志统计、汇总和相关性分析功能,实现对信息系统日志的全面审计。
2023-02-20 17:50:08
464
原创 数据库安全审计系统可以实现哪些价值?
近些年来越来越多的行业进入大数据时代,网络数据出现井喷式发展,所以,一旦数据被泄露,将会造不可估量的经济损失和不良的社会影响,因此,数据安全也被推到了一个相当高的地位,而数据库审计则是数据库安全防御体系中的重要组成部分。
2023-02-15 16:57:50
326
原创 数据库审计系统的功能有哪些?
数据库审计系统实现了所有访问数据库操作行为的审计,是一款基于数据库协议标准分析和SQL解析技术的数据库审计产品。数据库审计系统能够详细记录用户对数据库进行增删改查、查询、登录等操作行为及返回结果,通过配置安全规则实现对危险操作的实时告警和事后追溯,从而达到保护数据库安全的防护效果。
2023-02-14 18:15:39
1172
原创 漏洞扫描服务内容、方式以及流程一篇了解
漏洞扫描是指基于 CVE、CNVD、CNNVD 等漏洞数据库,通过专用工具扫描手段对指定的远程或者本地的网络设备、主机、数据库、操作系统、中间件、业务系统等进行脆弱性评估,发现安全漏洞,并提供可操作的安全建议或临时解决办法的服务。具体服务流程、内容和方式如下:
2022-12-23 17:24:50
3283
原创 GB/T 20984-2022《信息安全技术 信息安全风险评估方法》解读
对GB/T 20984-2007《信息安全技术 信息安全风险评估规范》和GB/T 20984-2022 《信息安全技术 信息安全风险评估方法》主要差异进行叙述。
2022-12-17 14:35:32
6218
原创 等保2.0流程和测评步骤详解
等保2.0工作流程和测评步骤详解,等保2.0工作分为5个阶段:分别为:系统定级、系统备案、安全建设/整改、等级测评、主管/监管单位定期开展监督检查。以下做了详解解释。
2022-12-07 17:28:33
2464
原创 如何确保网站的安全性
大部分企业通过网站平台来进行信息发布、交流及宣传、推广企业业务,用户可以通过网站对企业进行初步的了解,并进一步获取咨询服务。企业网站不光是一个展示企业形象的平台,更是一种有效的营销方式,当然其安全性也是至关重要。随着网站的普遍应用,企业网站安全问题从而受到越来越多人的关注。安全性一直是网站维护的重点,网站常见的安全问题有网站服务器系统存在漏洞、DDoS攻击、网页篡改、网站数据泄露等。面对网络威胁的不确定性,企业该如何保障网站安全?1.确保网站服务器安全尽可能选择安全性较高、稳定性较强的服务器,同时,服
2021-10-18 17:36:34
2878
原创 信息系统在什么阶段需要做风险评估
任何事情都存在风险,信息系统亦然如此。如果不了解自身信息系统状况,倘若其存在安全风险不加以控制或解决,企业的网络安全就无法得到保证,系统内存储的各种信息也得不到基本保障。简单来说,信息系统风险评估是用来了解信息系统目前的网络安全防御能力,以及判断是否存在安全隐患,并提前采取办法防范。风险评估对于企业规避网络安全风险有很大的帮助,其中包含了多种安全检测手段。那么,信息系统到底在什么阶段适合做风险评估?**答案是:信息系统在其生命周期的各阶段都需要进行风险评估。**一个系统从设计到开发,再到正式投入使用,
2021-10-12 11:00:23
134
原创 APP过度索取问题严重,该如何有效解决?
近几年移动应用市场发展快速,APP种类功能繁多,给人们的生活和工作带来了无限便捷,然而事物的发展必然有对立面,APP获取用户数据问题突出,同时加大了信息泄露的风险。工信部及各通信管理局等相关部门针对APP问题频频通报,使得移动应用开发商处于两难境地。APP获取用户隐私数据一直是大众关心的问题,移动设备也难逃遭受网络攻击,而移动应用则是网络攻击者的最佳入手点。用户在使用各大APP时不难发现,前期必须通过各种个人信息授权,为了APP带来的便捷,即使发现过度授权,用户为了省事还是会不假思索地点击同意,如此一来
2021-09-29 10:05:32
2996
原创 信息系统上线前最应该关注的问题!
每家企业为了业务发展,少不了应用信息系统。不论是自身企业使用,还是开发交付给客户,在考虑到给用户带来价值、给自身带来收益的同时,还应注意到系统的安全性。**开发一个新信息系统的最后一步,即最重要的一步:对系统进行安全检测。**简单来说,就是信息系统在接入互联网之前进行网络安全风险评估,提前确定系统的网络安全漏洞情况,是否存在威胁,是否符合入网安全评估的测评标准以及网络安全等级保护测评的标准。大量用户在自主开发应用系统或委托开发应用系统时,更多的是从业务功能实现和性能方面对应用系统进行验收,缺乏相应的技术
2021-08-12 09:02:20
301
原创 是否系统越复杂,漏洞就会越多?
一般情况下,系统的复杂度与漏洞数成正比,可以说系统越复杂存在的漏洞就会越多,但这不是绝对的。系统的复杂度和大小,与安全性具有一定联系,但不是检验系统是否安全的决定性因素。比如一道数学题,计算量越多出错率也会越高,但是引起错误的不仅仅是计算量,还有人为的粗心等因素造成。同样的,决定信息系统是否安全有多种因素,漏洞的造成包括企业员工网络安全意识薄弱、缺少网络安全建设、系统的日常维护和管理不到位、计算机病毒的侵扰没有得到及时修复等,而系统复杂性,只是引起系统漏洞的其一因素。网络安全漏洞是指在硬件、软件和协
2021-08-11 11:12:45
206
原创 技术分享 | mimikatz的常见使用方法
0x00简介Mimikatz 是一款功能强大的轻量级调试神器,通过它你可以提升进程权限注入进程读取进程内存,当然他最大的亮点就是他可以直接从 lsass.exe 进程中获取当前登录系统用户名的密码, lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略,通常我们在登陆系统时输入密码之后,密码便会储存在 lsass内存中,经过其 wdigest 和 tspkg 两个模块调用后,对其使用可逆的算法进行加密并存储在内存之中, 而 mimikatz 正是通过对lsass逆算获取到明文密码!也就
2021-08-10 17:50:59
3078
原创 技术分享 | 记一次Bypass SQL 注入
前言最近在学习怎么绕WAF,遇到某网站的登录框存在注入,我们现在来看一下。0x01判断注入点使用burp进行抓包,发送到repeater模式,对数据包进行重放。正常请求一个单引号两个单引号三个、四个、……呈现周期性的变化,说明此时后端数据库可直接识别用户输入的单引号 (程序未对用户输入的数据进行过滤、或过滤不严导致用户数据被后端数据库当作代码执行)。0x02 Bypass过程构造可行的轮子,方便后续变形:admin’) or (‘a’='a) #阿这,居然有WAF,接下来开始绕
2021-08-10 17:37:51
104
原创 企业如何进行网络安全意识培训
企业数据泄露,不仅由网络不法分子入侵引起的,还有企业员工网络安全意识的缺乏。网络安全是企业发展的关键,而员工的安全意识往往容易被忽视,重要系统登录密码使用弱口令、随意点击不明链接等行为给网络入侵者指明了方向。员工网络安全意识薄弱正在成为企业面临的最大风险,做好员工的网络安全意识培养,是非常重要的。那么,企业该如何开展网络安全意识培训?(1)要让员工了解网络安全的重要性,例如分析漠视信息安全的严重后果、不重视将会出现哪些问题、会受到怎样的处罚,强调网络安全意识的重要程度,(2)公司应制定相关网络安全
2021-08-06 16:30:38
993
1
原创 你可能想了解的网络安全巡检
部分单位因安全需求,购买安全设备数量及种类过多,导致安全设备滞留存放的情况时常存在,管理人员难以全面管理,设备没有得到合理利用,从而使设备功能没有得到充分的发挥,内部配置也未得到及时更新。安全设备日常维护不到位,缺乏及时有效的安全运维规范和管理,容易让企业遭受网络攻击。网络安全巡检安全巡检是指使用多种手段,对网络设备、服务器、操作系统、应用系统进行周期性的状态检查、安全扫描、日志分析,补丁管理并提交巡检报告及安全建议。安全巡检的重要性安全巡检的目的在于长期和持续地保持IT系统良好的安全状况,定
2021-08-06 16:29:11
1238
1
原创 网络安全的常见误解
误解一 网络安全设备可挡一切威胁网络安全设备能够在一定程度发挥防护作用,它的存在固然重要,但并不是万能的,若设备日常没有做好维护,有再多的设备也是徒劳。安全设备策略不及时更新、维保期限过期等安全检查工作不到位,也会容易引来网络攻击,光想靠网络安全设备来阻止一切网络安全风险,是不可行的。“网络安全设备越多越好”、“安全设备可抵挡所有网络攻击”都是错误的想法。误解二 对重要信息加密即可万无一失企业的业务系统必然少不了储存重要信息,这些数据将成为网络不法分子的目标。敏感信息和重要数据泄露已成常事,不仅仅要对
2021-07-28 10:06:26
454
原创 技术分享 | go语言源码免杀MSF木马
木马源码免杀两种形式:下载者和加载者https://www.freebuf.com/articles/system/227468.html前言加载者的免杀分为两部分:加载器本身的免杀,加载器源码因为在网上发布许久。特征码已被查杀。msf本身的shllcode免杀。需要对msf马进行多次混淆编码。加载器免杀这里我不放shellcode,看看网上加载器的特征会被多少AV识别。在微步的VT 0/25virustotal的VT 15/71免杀的过了火绒,但是没过360。接下来从源码级
2021-07-26 12:10:11
1463
原创 渗透测试发现系统漏洞,如何整改修复
一、渗透测试常见漏洞1、敏感信息泄露由于网站运维人员疏忽,存放敏感信息的文件被泄露或由于网站运行出差导致敏感信息泄露。2、SQL注入SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQL Injection,即SQL注入漏洞。3、XSS跨站脚本XSS跨站脚本漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险。
2021-07-23 17:32:44
1597
原创 企业为何需要进行网络安全评估?
目前,一些中小企业以及初创公司,往往不太注重网络安全建设,认为自身企业与其他大公司甚至上市公司不同,对于黑客来说没有利用价值,因此不愿意花费过多的时间和成本投入在网络安全建设上。这种错误的想法往往会给企业带来危害,企业虽小,但不意味着你不在攻击范围内。黑客随时随地扫描互联网,时刻寻找他们可以利用的漏洞,中小企业以及初创公司并不能免受网络攻击。随着网络安全相关法律的颁布与实施,网络安全越来越被重视,很多企业也意识到网络安全的重要性,这意味着网络安全正成为一个重要推动环节。一、关于网络安全评估网络安全评
2021-07-12 09:06:50
165
原创 《网络安全法》对应急预案和应急响应有哪些要求
**《网络安全法》第25条规定:**网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。**《网络安全法》第53条规定:**国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。相关负责部门整体缺乏事件危害评估、应急预案、处置措施、上报流程等一系列的规范,与此同时,缺失应急响应能力的储备和建设是当前大多数企业普
2021-07-07 08:58:00
1986
原创 单位系统被黑客入侵,怎么应对?
黑客,通常是指对计算机科学、编程和设计方面具有高度理解的人。在信息安全里,“黑客”指研究智取计算机安全系统的人员。他们利用公共通讯网路,如互联网和电话系统,在未经许可的情况下,载入对方系统的被称为黑帽黑客,调试和分析计算机安全系统的白帽黑客。**黑客的类型:**黑客最普遍的两种类型分为白帽子和黑帽子。白帽子是指对网络技术防御的人。他们精通攻击和防御,同时头脑里具有信息安全体系的宏观意识。他们的工作是识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用。这样系统可以在被其他人(例如黑帽子)利用之前修补
2021-06-22 11:32:08
1133
原创 APP移动应用安全加固是如何进行的?
一、背景随着移动互联网产业的快速发展,移动应用呈井喷式爆发,Android应用开发者从几万迅速增加到几十万,APP数量更是不断向上增长,每日新开发的APP在以几何级数量递增。同时,因Android系统本身开源特性,Android应用正逐渐取代PC端成为黑客攻击的主要对象,超97%的Android应用遭受盗版侵袭,病毒木马肆虐、流氓软件和钓鱼应用随处可见,严重影响了开发者收益、客户端安全和体验。二、APP移动应用安全加固介绍移动应用安全加固技术包括Android应用加固、iOS应用加固、游戏应用加固、
2021-05-26 11:03:45
1166
1
原创 App违法违规收集使用个人信息合规评估,你了解多少?
一、背景近年来,移动互联网得到迅速发展,移动互联网便捷、普惠的特点最大程度地在App上予以呈现,“微信”“淘宝”“百度地图”“支付宝”等App早已成为广大网民生活中的“必需品”,极大地便利和丰富了人们的生活。然而,伴随着App的繁荣发展,个人信息泄露、滥用、非法交易等问题开始凸显,App强制授权、过度索权、超范围收集个人信息的现象大量存在,广大网民对此反应强烈。遏制乱象、促进移动互联网健康发展,成为当下迫切的任务。2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布《关
2021-05-26 10:59:01
496
原创 中了勒索病毒,该如何恢复数据?
一、什么是勒索病毒?勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒也被称为勒索软件,通常的运作模式是进入系统后对系统内数据进行加密,直接导致系统中数据无法正常使用,并要求在指定期限内支付赎金。赎金通常会要求以比特币等加密货币的形式支付。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。该类型病毒的目标性强,主要以邮件为传播方式。勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥和私钥。然后,将加密公钥
2021-05-26 10:56:25
1982
1
原创 关于APP个人信息安全和隐私合规评估,你想知道的都在这!
一、背景手机的广泛使用,带动了应用市场的发展,大量App的衍生,给手机用户带来了不少困扰。目前,大量移动App在使用过程中涉及个人隐私和敏感信息,造成个人信息泄露,这类安全事件早已见怪不怪。2021年1月26日,国新办举行2020年工业和信息化发展情况发布会,工信部相关人员表示,2019年至2021年1月,已责令2234款违规APP进行整改,其中重点整治App等违规处理用户个人信息、设置障碍频繁骚扰用户等四方面十大类的问题。大多数App被通报或下架,主要为App企业内部缺乏对个人信息安全开发的重视、安
2021-05-26 10:41:38
2535
1
原创 代码审计 | 记一次盾灵系统审计从后台到Getshell
以下内容仅供技术研究学习使用!严禁用于非法操作!切实维护国家网络安全,普及相关网络安全知识是信安从业者的义务!0x00前言:在B站找审计的视频来学习看到这位师傅只找到了后台登录的SQL注入和cookie欺骗我感觉应该可以Getshell的于是就下载回来审计一波先讲这两洞,后台登录的SQL注入和cookie欺骗0X01审计1.SQL注入万能密码默认后台地址:http://www.duenling.com/admin/index.php漏洞地址:D:\phpstudy_pro\WWW\
2021-04-07 10:14:55
181
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人