移动客户端安全漏洞等级划分

最新推荐文章于 2024-07-26 16:06:15 发布
最新推荐文章于 2024-07-26 16:06:15 发布
阅读量6.3k 收藏 2
点赞数
分类专栏: android 文章标签: android 安全 漏洞 移动客户端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a282255307/article/details/83475187
版权

移动客户端安全漏洞等级划分

移动客户端安全漏洞等级划分

我们将漏洞危害程度分为:严重、高危、中危、低危、无危险五个等级。其中定义移动客户端安全漏洞为以Flyme为核心的移动客户端安全漏洞。包括Flyme系统、魅族旗下app、魅族智能设备上的安全漏洞。

1. 严重,包含但不限于:

  1. 直接获取客户端最高权限的漏洞。包括但不限于由于魅族修改导致的直接获取android系统权限、远程任意命令执行、由于魅族修改导致的可利用的浏览器 use after free 漏洞、突破google沙箱或者TrustZone、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。
  2. 严重的逻辑设计缺陷。包括但不限于由于绕过锁屏等绕过访问限制获取到敏感信息。魅族App导致的修改任意账号密码、获取任意账号云信息等。

2. 高危,包含但不限于:

  1. 敏感信息越权访问。包括但不限于影响业务运行的Broadcast消息伪造等Android组件权限漏洞。
  2. 敏感信息泄露。包括但不限于能直接利用的app 本地SQL注入、移动API访问摘要等。
  3. 可获取敏感信息或者执行敏感操作的重要客户端产品的 XSS 漏洞。

3.中危,包含但不限于:

  1. 普通越权操作。包括但不仅限于不正确的直接对象引用。
  2. 普通信息泄漏。包括但不仅限于客户端明文存储密码。
  3. 远程拒绝服务。包括但不限于客户端远程拒绝服务(特殊字符、文件格式)
  4. 错误的设置。包括但不限于重要app由非第三方组件导致的信任所有证书。

4. 低危,包含但不限于:

  1. 无敏感信息的app 本地SQL注入。
  2. 本地拒绝服务漏洞。重要app由Android组件权限暴露、普通应用权限引起的问题等。
  3. 需借助中间人攻击的移动 app 远程代码执行漏洞并提供了有效 PoC。

5. 无危险,本等级包含但不限于:

  1. 无安全影响的本地拒绝服务。
  2. 不涉及安全问题的bug。包括但不限于产品功能缺陷、页面乱码、样式混编等。
  3. 无法重现的漏洞、不能直接体现漏洞的其他问题。包括但不限于纯属用户猜测的问题。
Leslie_Yu
关注
专栏目录
《网络产品安全漏洞管理规定》解读
beetxia的博客
07-19 4573
《网络产品安全漏洞管理规定》2021年7月12日已由工业和信息化部、国家互联网信息办公室、公安部三部门联合印发,现予公布,自2021年9月1日起施行。 一、解读《网络产品安全漏洞管理规定》 制定目的 为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险。 法律依据 《华人民共和国网络安全法》 三类责任主体 ① 网络产品(含硬件、软件)提供者。 ② 网络运营者。 ③ 从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。 三项管理职责及分工 ① 国家互联网信息办公
安全运营之漏洞管理
学而思(xiejava的blog)
04-25 8876
1947年冯·诺依曼建立计算机系统结构理论时认为,计算机系统也有天生的类似基因的缺陷,也可能在使用和发展过程产生意想不到的问题。在各种产品、主机、网络和复杂信息系统安全漏洞以不同形式存在,而且数量逐年增加,利用漏洞造成的各类安全事件层出不穷,导致越来越多的网络终端受害,大量机密信息被窃取,敏感数据信息在互联网上传播。工业控制领域以及新技术新应用的安全漏洞,特别是基础核心系统的安全漏洞已经成为危害国家经济和发展安全的重要因素。在安全运营过程一个最重要的工作就是漏洞管理。
等级保护测评解决方案
最新发布
联蔚盘云的博客
07-26 1039
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统使用的信息安全产品实行按等级管理,对信息系统发生的信息安全事件分等级响应、处置。从定级备案,调研,等保测评,差距分析,整改任务管理到最终得到测评报告,全过程完整的项目管理,定期会议纪要,任务拆解表和时间计划,完整的过程文档和交付物。根据客户的业务现状,基于多年等保项目经验,提供专业的咨询服务,进行定级选择,现场调研,差距分析,制度建设,风险项整改等咨询。
反编译完这些app后,我给它们的安全等级打个分
yan127422_1的专栏
07-30 272
前言 在Android开发,apk的安全性是一个重要的关注点。每个app应用对于自身的数据和代码安全做了对应的保护。为了调研和学习市场上各类app它们的安全策略,此次反编译了30款apk来调研学习,加入debuggable和networkSecurityConfig属性(加入Charles证书),回编并签名apk,然后启动它,通过日志,抓包,界面展示来看看不同应用的安全策略。同时针对这些应用用了一个粗糙的分数排名(非专业评分,大家看看就好)。 各参数等级与分数说明 反编译Level L1: 资源无混淆,
网络安全考试问答题
07-12
网络安全考试问答题必备,收集了大量习题,供大家参考学习。
信息安全技术 网络安全漏洞分类分级指南(GB/T 30279-2020 )
千寻的博客
04-13 2万+
文章目录前  言1 范围2 规范性引用文件3 术语和定义4 缩略语5 网络安全漏洞分类5.1 概述5.2 代码问题5.3 配置错误5.4 环境问题5.5 其他6 网络安全漏洞分级6.1 概述6.2 网络安全漏洞分级指标6.3 网络安全漏洞分级方法附 录 A(规范性附录)被利用性评级表附 录 B(规范性附录)影响程度评级表附 录 C(规范性附录)环境因素评级表附 录 D(规范性附录)漏洞技术评级表附 录 E(规范性附录)漏洞综合评级表附 录 F(规范性附录)漏洞评级示例参 考 文 献 前  言 本标准按照G.
30国金融移动支付 检测规范 第3部分:客户端软件.pdf
08-11
- **检测目的**:检查编码是否遵循了标准的开发流程和编码安全规范,特别是对于请求、响应、存储、配置等功能模块,是否存在潜在的安全漏洞。 - **检测流程**:审查编码规范及关键源代码的安全性。 - **通过标准**:...
移动互联网医院信息安全等级保护的应用与实践.pdf
07-16
信息安全等级保护是国实行的一种信息安全保护制度,它根据信息系统受到破坏后可能对国家安全、社会秩序和公共利益的危害程度,将信息系统的安全保护等级划分为五级,并分别实施不同程度的保护措施。等保测评则是对...
攻防之间寻移动安全之道
02-15
文章指出,移动支付系统在近场支付和远程支付两个方面都存在安全隐患,研究人员对多家手机银行和第三方支付客户端进行安全测评,发现了大量安全漏洞。这些漏洞可以被划分为四类,涉及六十多项风险点,包括网络间人...
[车联网安全自学篇] Android安全移动安全测试指南「移动安全测试基本原理」
橙留香Park的博客
02-02 454
[车联网安全自学篇] Android安全移动安全测试指南「移动安全测试基本原理」;在接下来的部分,我们将简要介绍常规安全测试原则和关键术语。所介绍的概念与其他类型的渗透测试的概念基本相同,所以如果你是经验丰富的渗透测试人员,你可能会熟悉其的一些内容移动APP安全威胁从三个不同环节进行划分,主要分为客户端威胁、数据传输端威胁和服务端的威胁在整个指南,我们将 “移动应用安全测试” 作为一个综合名词,指的是通过静态分析和动态分析对移动应用安全进行评估。例如:“移动应用渗透测试” 和 “移动应用安全分析
安全防御」互联网资产管理与漏洞运营实践_&_安全产品线 - 安全研究.zip
11-09
漏洞运营则是在发现和评估资产上的安全漏洞后,采取修复措施的过程。这包括定期进行漏洞扫描,分析漏洞的严重程度,制定优先级,然后实施补丁管理,以及在必要时进行应急响应。同时,建立漏洞管理流程,如...
网络安全等级保护
Anything that can make the world better is promising!
07-17 4253
网络安全等级保护
漏洞等级标准参考建议
qq_40898302的博客
02-21 3985
2.不需要登录直接导致严重的信息泄露漏洞,包括但不限于重要数据库的SQL注入、系统权限控制不严格等导致的敏感数据泄露漏洞等。3.可能存在安全隐患但利用成本很高的漏洞,包括但不限于需要用户连续交互的敏感安全漏洞,例如:解析漏洞、可被暴力破解接口等。1.轻微信息泄露,包括但不限于路径信息泄露、svn信息泄露、phpinfo、日志文件、配置信息等。1.需要登录的重要业务敏感数据信息泄露漏洞,包括但不限于重要用户信息、配置信息、数据文件信息等。2.普通信息泄露漏洞,包括但不限于用户信息泄露和业务敏感信息泄露等。
安全漏洞分析师与客户的一次交流
实践求真知
11-22 528
叮叮叮.…电话响起。 安全漏洞分析师接到一客户电话。 “你好,请问有什么可以帮到你吗?”分析师说。 “我给你发了一封邮件,是一个扫描你们公司软件A的漏洞安全列表,请分析一下。”客户说。 分析师打开列表,分析了一下。 漏洞分三种。 第一种是软件A本身的安全问题,打上相关的补丁就可以了,而且扫描出的漏洞编号在补丁说明书都有体现,在补丁说明书搜索一下都能搜索到。 第二种是微软操作系统的
2020年9月网络安全考试试题
热门推荐
u014265398的博客
09-14 11万+
1.关于数据使用说法错误的是: A.在知识分享、案例如涉及客户网络数据,应取敏感化,不得直接使用 B.在公开场合、公共媒体等谈论、传播或发布客户网络的数据,需获得客户书面授权或取敏感化,公开渠道获得的除外。 C 客户网络数据应在授权范围内使用,禁止用于其他目的。 D.项目结束后,若客户未明确要求,可以保存一些客户网络数据在工作电脑上,以便日后用于对外交流,研讨等引用。 正确答案: D 2.下面哪项 不符合客户书面授权方式: A 电子流 B 邮件 C.口头承诺 D.传真 E.会议纪要 正确答案: C 3
HCIP-H12-223多选题库
清冷猫
04-22 10万+
1、当前企业网络常常会使用OSPF作为路由协议,那么在使用OSPF做路由协议的时候,需要注意以下哪些问题? A.确认骨干区域不会出现分裂的情况 B.确认在OSPF的选路规则下,网络是否会出现次优路由 C.确认所有的非骨干区域与骨干区域有正确可靠的链接 D.确认OSPF网络的拓扑结构,保证OSPF在路由计算时不会出现环路 E.确认OSPF的Cost能够正确反映百兆以上链路的真实带宽 【正确答案】A,B,C,E 【答案解析】使用OSPF做路由协议的时候,需要确认骨干区域不出现分裂,确认...
解读《网络产品安全漏洞管理规定
m0_70655343的博客
06-12 1449
自2021年9月1日起《网络产品安全漏洞管理规定》正式施行。规定的出台出于何种目的,对网络安全业界的发展有何种指导意义,又将如何影响未来安全行业的发展?科微澜分析师将为您进行详细解读。根据《网络安全法》关于漏洞管理有关要求,工业和信息化部、国家互联网信息办公室、公安部联合制定《网络产品安全漏洞管理规定》,主要目的是维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和
运营商互联网业务暴露面安全
Macro2的博客
05-06 2195
对于一个士兵来说,最大的梦想就是能上战场真刀实枪的干上一战,同样对于一名安全人员来说,自己设计、建设的经过层层防护的系统,如果没有经历过一次攻击,不免有点索然无味。在众多的甲方当运营商互联网业务暴露面每周都会受到来自集团的考核,考核一般通过远程渗透的方式进行,发现漏洞后,通报扣分,省公司会采取很多措施保证不会被发现漏洞,在运营商驻场的我们,每天都能感受到最直观的网络攻击防守之战。 本文主要介...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值