Uguardsec的博客

近期，工信部通报2023年第1批《侵害用户权益行为的APP通报》（总第27批），共通报46款APP（SDK），这些被责令限期整改的APP（SDK），涉及的问题主要包括3个方面：收集个人信息明示告知不到位、超范围和强迫收集个人信息。因此，为了避免因违法违规而造成APP被下架、被责令限期整改，建议企业应当及时开展APP内部合规审查与评估工作，通过APP违法违规收集使用个人信息合规评估及时发现潜在的数据安全与个人信息保护风险点，并制定相应的解决方案，以实现企业的合规经营。

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。具体工作流程如何？

密码应用安全性评估简称密评，是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。密码应用安全性评估不仅对规范密码应用具有重大意义，同时对维护网络与信息系统密码安全，切实保障网络安全，都具有不可替代的重要作用。

等保2.0相关国家标准于2019年12月1日开始实施，标志着我国网络安全等级保护工作进入一个崭新的阶段，对于加强我国网络安全保障工作，提升网络安全保护能力具有十分重要的意义。很多行业主管单位要求行业客户开展等级保护工作，合理地规避风险。建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受信息安全攻击和破坏。那么，等保2.0的工作流程是如何的？要如何进行？对此有疑问的大家赶快来了解一下吧。

APP安全评估则是一个具有高度针对性的技术评估服务，它的重点在于通过对网络通讯、服务器端、客户端、数据和业务逻辑等多个层面进行细致的梳理、测试和分析，发现APP业务方面面临的违规问题及安全漏洞。具体意义和方法如下：

安全配置检查为操作系统（也包括网络设备和安全设备等）、数据库、中间件、第三方应用和业务系统可更改的配置中与安全相关的设置参数，版本，补丁等信息。具体操作流程如下

代码审计是一种发现程序漏洞，安全分析为目标的程序源码分析方式。今天主要分享的是几款常用的代码审计工具，以及代码审计工具有哪些优缺点？

黑客通常利用的漏洞有：软件编写存在bug、设计存在缺陷、系统配置不当、口令失窃、嗅探未加密通讯数据、系统攻击等等，因此提前做好代码审计工作，非常大的好处就是将先于黑客发现系统的安全隐患，提前部署好安全防御措施，保证系统的每个环节在未知环境下都能经得起黑客挑战，可以进一步巩固客户对企业及平台的信赖。

渗透测试是一种从攻击者的角度来对客户授权的测试目标进行安全评估的手段，在对现有信息系统不造成损害的前提下，由具备高技能和高素质的安全服务人员发起，并模拟常见黑客所使用的测试手段对目标系统进行模拟入侵。可以清晰知晓系统中存在的安全隐患和问题。那么哪些网络安全风险需要进行渗透测试呢？

日志审计系统（平台）通过采集信息系统中的各种信息，如系统安全事件、用户访问记录、系统运行日志、系统运行状态等，经过标准化、过滤、合并、报警分析，以日志的形式统一存储和管理，结合丰富的日志统计、汇总和相关性分析功能，实现对信息系统日志的全面审计。

数据库审计系统实现了所有访问数据库操作行为的审计，是一款基于数据库协议标准分析和SQL解析技术的数据库审计产品。数据库审计系统能够详细记录用户对数据库进行增删改查、查询、登录等操作行为及返回结果，通过配置安全规则实现对危险操作的实时告警和事后追溯，从而达到保护数据库安全的防护效果。

记一次内网渗透过程学习

漏洞扫描服务范围和应用场景

漏洞扫描是指基于 CVE、CNVD、CNNVD 等漏洞数据库，通过专用工具扫描手段对指定的远程或者本地的网络设备、主机、数据库、操作系统、中间件、业务系统等进行脆弱性评估，发现安全漏洞，并提供可操作的安全建议或临时解决办法的服务。具体服务流程、内容和方式如下：

一文快速了解什么是代码审计，解析代码审计流程、范围等信息

任何事情都存在风险，信息系统亦然如此。如果不了解自身信息系统状况，倘若其存在安全风险不加以控制或解决，企业的网络安全就无法得到保证，系统内存储的各种信息也得不到基本保障。简单来说，信息系统风险评估是用来了解信息系统目前的网络安全防御能力，以及判断是否存在安全隐患，并提前采取办法防范。风险评估对于企业规避网络安全风险有很大的帮助，其中包含了多种安全检测手段。那么，信息系统到底在什么阶段适合做风险评估？**答案是：信息系统在其生命周期的各阶段都需要进行风险评估。**一个系统从设计到开发，再到正式投入使用，

每家企业为了业务发展，少不了应用信息系统。不论是自身企业使用，还是开发交付给客户，在考虑到给用户带来价值、给自身带来收益的同时，还应注意到系统的安全性。**开发一个新信息系统的最后一步，即最重要的一步：对系统进行安全检测。**简单来说，就是信息系统在接入互联网之前进行网络安全风险评估，提前确定系统的网络安全漏洞情况，是否存在威胁，是否符合入网安全评估的测评标准以及网络安全等级保护测评的标准。大量用户在自主开发应用系统或委托开发应用系统时，更多的是从业务功能实现和性能方面对应用系统进行验收，缺乏相应的技术

企业数据泄露，不仅由网络不法分子入侵引起的，还有企业员工网络安全意识的缺乏。网络安全是企业发展的关键，而员工的安全意识往往容易被忽视，重要系统登录密码使用弱口令、随意点击不明链接等行为给网络入侵者指明了方向。员工网络安全意识薄弱正在成为企业面临的最大风险，做好员工的网络安全意识培养，是非常重要的。那么，企业该如何开展网络安全意识培训？（1）要让员工了解网络安全的重要性，例如分析漠视信息安全的严重后果、不重视将会出现哪些问题、会受到怎样的处罚，强调网络安全意识的重要程度，（2）公司应制定相关网络安全

部分单位因安全需求，购买安全设备数量及种类过多，导致安全设备滞留存放的情况时常存在，管理人员难以全面管理，设备没有得到合理利用，从而使设备功能没有得到充分的发挥，内部配置也未得到及时更新。安全设备日常维护不到位，缺乏及时有效的安全运维规范和管理，容易让企业遭受网络攻击。网络安全巡检安全巡检是指使用多种手段，对网络设备、服务器、操作系统、应用系统进行周期性的状态检查、安全扫描、日志分析，补丁管理并提交巡检报告及安全建议。安全巡检的重要性安全巡检的目的在于长期和持续地保持IT系统良好的安全状况，定

一、背景随着移动互联网产业的快速发展，移动应用呈井喷式爆发，Android应用开发者从几万迅速增加到几十万，APP数量更是不断向上增长，每日新开发的APP在以几何级数量递增。同时，因Android系统本身开源特性，Android应用正逐渐取代PC端成为黑客攻击的主要对象，超97%的Android应用遭受盗版侵袭，病毒木马肆虐、流氓软件和钓鱼应用随处可见，严重影响了开发者收益、客户端安全和体验。二、APP移动应用安全加固介绍移动应用安全加固技术包括Android应用加固、iOS应用加固、游戏应用加固、

一、背景近年来，移动互联网得到迅速发展，移动互联网便捷、普惠的特点最大程度地在App上予以呈现，“微信”“淘宝”“百度地图”“支付宝”等App早已成为广大网民生活中的“必需品”，极大地便利和丰富了人们的生活。然而，伴随着App的繁荣发展，个人信息泄露、滥用、非法交易等问题开始凸显，App强制授权、过度索权、超范围收集个人信息的现象大量存在，广大网民对此反应强烈。遏制乱象、促进移动互联网健康发展，成为当下迫切的任务。2019年1月25日，中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布《关

一、什么是勒索病毒？勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒也被称为勒索软件，通常的运作模式是进入系统后对系统内数据进行加密，直接导致系统中数据无法正常使用，并要求在指定期限内支付赎金。赎金通常会要求以比特币等加密货币的形式支付。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。该类型病毒的目标性强，主要以邮件为传播方式。勒索病毒文件一旦被用户点击打开，会利用连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥和私钥。然后，将加密公钥

一、背景手机的广泛使用，带动了应用市场的发展，大量App的衍生，给手机用户带来了不少困扰。目前，大量移动App在使用过程中涉及个人隐私和敏感信息，造成个人信息泄露，这类安全事件早已见怪不怪。2021年1月26日，国新办举行2020年工业和信息化发展情况发布会，工信部相关人员表示，2019年至2021年1月，已责令2234款违规APP进行整改，其中重点整治App等违规处理用户个人信息、设置障碍频繁骚扰用户等四方面十大类的问题。大多数App被通报或下架，主要为App企业内部缺乏对个人信息安全开发的重视、安

随着软件规模的日益增大，系统的逻辑结构越来越复杂，从起初几万行的代码数量，发展至今几十万行的代码数量已屡见不鲜，甚至还有几百万行的代码规模。网络攻击中的SQL注入攻击，就是利用了代码中存在的漏洞，在查询语句的参数传递时跟上额外的删除或者修改的SQL语句。源代码审计是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。源代码审计是通过静态分析程序源代码，找出代码中存在的安全性问题，常用于由安全厂商或企业的安全部门发起的代码安全性

互联网给当今社会带来了便捷，也正因如此，网络中的安全风险无处不在。现今的信息技术不同以往，攻击手段日趋先进的同时安全漏洞也在日益更新，个人信息泄露早已司空见惯，企业应当未雨绸缪，为业务系统正常运行做好充分准备。随着无线网络和移动通信技术的发展，智能手机功能越来越完善，由此带动了APP市场的生长，各大商家在应用商店上架APP时，会被要求上传安全评估报告，常常会遇到没有报告遭到碰壁的情况，没有提供安全评估报告的商家将面临着应用被下架等相关惩罚。由此可见，安全评估报告成了APP上架前的必然选择。2018年11月

随着网络安全方面法律的完善以及等保2.0的出台，很多单位往往要求出具系统安全评估报告，漏洞扫描、渗透测试、代码审计作为三种不同的安全评估类型，企业在网络安全建设中该如何做出选择？漏洞扫描是指基于漏洞数据库，通过扫描等手段对 指定的远程或者本地计算机系统的安全脆弱性进行检测， 发现可利用漏洞的一种安全检测行为。渗透测试是由具备高技能和高素质的安全服务人员发起、并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。换句话来说，渗透测试是经过用户授权后，安全服务人员以模拟黑客的方式对目标系统进行入侵，找出系

**源代码审计（Code Review）**是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷，从而让开发人员了解其开发的应用系统可能会面临的威胁，并指导开发人员正确修复程序缺陷。一、 源代码审计与模糊测试在漏洞挖掘过程中有两种重要的漏洞挖掘技术，分别是源代码审计和模糊测试（Fuzzing）。源代码审计是通过静态分析程序源代码，找出代码中存在的安全性

**渗透测试（Penetration Testing）**是由具备高技能和高素质的安全服务人员发起、并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。渗透测试服务的目的在于充分挖掘和暴露系统的弱点，从而让管理人员了解其系统所面临的威胁。渗透测试工作往往作为风险评估的一个重要环节，为风险评估提供重要的原始参考数据。渗透测试方法论1. 信息收集技术无论是恶意用户的攻击还是安全人员的渗透测试工作，信息采集都是非常必要的一步工作，只有做到了“知己知彼”，才有可能针对被测试目标的弱点进行深度的挖掘和测试工

随着信息技术的飞速发展，安全问题逐渐成为目前影响和制约网络应用发展的一个重要因素。传统的信息安全评估服务多在应用系统生命周期的运维阶段开展，对于评估发现的安全隐患，特别是代码问题很难整改，在整改过程中也易导致系统运行故障。大量用户在自主开发应用系统或委托开发应用系统时，更多的是从业务功能实现和性能方面对应用系统进行验收，缺乏相应的技术手段和能力对交付的应用系统的安全状况进行检验。如果应用系统在上线后由于存在类似SQL注入、密码明文传输、安全功能缺失等漏洞而遭受攻击，会直接影响正常业务运行，甚至造成经济和名

从互联网兴起至今，利用漏洞攻击的网络安全事件不断，并且呈日趋严重的态势。每年全球因漏洞导致的经济损失巨大并且在逐年增加，漏洞已经成为危害互联网的罪魁祸首之一，也成了万众瞩目的焦点。安全漏洞扫描是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的过程，广泛应用于信息系统安全建设和维护工作，是评估与度量信息系统风险的一种基础手段。## 安全漏洞(security hole)漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算