首页
学习
活动
专区
圈层
工具
发布
    • 综合排序
    • 最热优先
    • 最新优先
    时间不限
  • 来自专栏我的安全视界观

    业务安全业务安全之另类隐患

    在漏洞回归的时候,也会发现新的隐患; 一条短短的验证码,可能酿成一场事故; 业务安全之另类隐患,希望和大家分享鲜有人说的点点滴滴。 1、系统登录处暴力破解 ---- 1.1 回归漏洞 某业务系统在修复安全问题,并进行部分功能调整后进行安全提测,内容如下: ? 接收到提测邮件后,安全测试人员首先对已知漏洞在测试环境进行验证。 但事已至此,吃一堑需要长一智,在痛苦的经历中学习提高,关于对业务可能造成高风险危害的操作尽量少做或不做: 漏洞扫描、漏洞利用等高危操作,尽量做到事先告知业务安全测试前先评估影响范围,尽量确保对业务和用户无影响 2.4 深刻体悟 业务方面的安全隐患,可能不仅仅是由于业务逻辑造成,其他不规范的操作也起到一定的助攻成分。 业务相关的漏洞修复,推动改起来甚至比web漏洞更加难,因为产品要考虑友好度和便捷性。 不过也可以找到其他次之的修复方案,在安全业务之间找到平衡点,让安全真正的为业务保驾护航。

    1.1K30发布于 2018-10-08
  • 来自专栏安全攻防

    企业业务安全思考

    企业业务安全业务安全的目的在于,让业务正常开展,持续提供预期的服务。业务安全工作,是围绕着业务构建一系列安全风控的制度、工作流、系统、工具、风控规则、运营体系。 企业业务安全案例私服魔兽世界因源代码泄露,导致魔兽私服的产生。其根源是数据信息安全方面的问题。但是魔兽私服,直接导致玩家流失,直接造成业务安全问题,修复数据安全问题无法解决这个业务安全问题。 然后分析出来的具体问题及实现措施,可能落到其他安全方面,也可能落到非安全领域。应用安全等方面出现问题,都会对业务造成影响。业务出现问题了,其根源可能不是业务安全问题。 存在业务安全问题,其他安全方面都很好,业务一定会出现问题。总结1、业务安全是新的词,不是新的需求。2、业务安全问题的根源,在业务设计产品设计。3、业务安全没有通用方法论,是紧密围绕业务的。 4、互联网时代的业务安全,可借鉴传统风控做互联网优化。5业务安全非常考验思路跟知识广度。

    74741编辑于 2023-08-25
  • 来自专栏全栈程序员必看

    业务安全(逻辑漏洞)

    文章目录 业务安全 概述 黑客攻击的目标 业务安全测试流程 测试准备 业务调研 业务建模 业务流程梳理 业务风险点的识别 开展测试 撰写报告 业务数据安全 商品支付金额篡改 前端JS 限制绕过验证 (只注重实现功能而忽略了在用户使用过程中个人的行为对Web 应用程序的业务逻辑功能的安全性影响 )、开发代码频繁迭代导致这些平台业务逻辑层面的安全风险层出不穷(业务逻辑漏洞主要是开发人员业务流程设计的缺陷 业务风险点识别应主要关注以下安全风险内容: 业务环节存在的安全风险 业务环节存在的安全风险指的是业务使用者可见的业务存在的安全风险,如注册、登录和密码找回等身份认证环节,是否存在完善的验证码机制、数据一致性校验机制 业务环节间存在的安全风险 业务环节间存在的安全风险,如系统业务流程是否存在乱序,导致某个业务环节可绕过、回退 或某个业务请求可以无限重放。 业务环节与支持系统间存在的安全风险 业务环节与支持系统间存在的风险,如数据传输是否加密、加密方式是否完善,是否采用前端加密、简单MD5编码等不安全的加密方式。系统处理多线程并发请求的机制是否完善。

    1.6K20编辑于 2022-09-06
  • 来自专栏腾讯云安全专家服务

    业务安全(1)-天御内容安全

    一、前言 此系列将写一个系列给大家介绍腾讯云上的业务安全产品,希望加深大家对于腾讯业务安全产品的了解和熟悉,使用。 随着互联网业务的发展,各行各业都涉及业务安全问题: 金融中涉及的主要业务安全问题包括账号安全、资金安全、洗钱、骗贷、老赖逾期问题、金融黑中介、薅羊毛等; 社交中面临的主要业务安全问题包括账号安全(盗号、 垃圾识别,其工作如下图所示: 从图5可见,依据影响业务健康度的程度和客户不同类型的拒绝策略,总体上将同一类垃圾类型划分为2类或3类: 白:正常内容 灰:疑似[可选] 黑:恶意内容 在垃圾内容识别上腾讯云天御采用关键词文法过滤 八、服务保证指标SLA 8.1 内容安全服务承诺99.9%的业务可用性。 (1)业务可用性 = 图片内容安全服务周期内业务可用时间 / 图片内容安全服务周期内服务总时间。 (5)不可用时间:图片内容安全服务在1分钟内的错误率大于0.01%的,计为该分钟内服务不可用。服务连续1分钟以上不可用的,计为一次故障事件。以下情况不纳入业务不可用时间计算: 日常系统维护时间。

    6.8K130发布于 2020-11-03
  • 来自专栏网络日志

    H5常见的业务风险分析及安全防护思路

    H5有哪些业务风险 链接伪造风险。 攻击者通过伪造的H5网页链接,入侵破坏业务系统乃至内网,窃取重要信息、账户密码等。 页面篡改风险。 同时,打乱函数顺序,并自动更新混淆算法并更新JS到CDN,由此保障H5页面的安全安全性高。 顶象是国内领先的业务安全公司,自主研发了全链路的风控中台产品矩阵体系,包括设备指纹、第四代验证码、实时决策平台、端加固、数据采集保护、工业系统保护、模型平台、关联网络平台、知识图谱等风控、安全和人工智能产品 ,有效保障了企业的业务应用和基础设施安全。 构建起覆盖事前、事中、事后全生命周期的安全体系,让业务更加安全、智能、稳定,助力企业创新与增长。

    1.3K10编辑于 2024-07-11
  • 来自专栏Bypass

    业务逻辑安全思路总结

    在电商的业务场景里,我们最应该注意哪些安全问题呢? 想到这,发现挺有意思的,于是我重新去梳理了一下业务逻辑方面的内容,总结了一张关于业务逻辑安全的思维导图,在整理的过程中,自己的思路也越加清晰。 ---- 01、防前端绕过 前端校验增加用户体验,后端校验才能保障接口安全性。 漏洞案例:支付计价的逻辑写在前端,后端没有做数据校验,从而导致0元支付逻辑漏洞。 04、防流程绕过 业务逻辑拆分需考虑风险,防止用户绕过某些节点,执行后面的流程。 漏洞案例:积分兑换的场景,将积分扣减和兑换拆分为两个接口,攻击者可直接执行兑换,不执行积分扣减。 06、防高并发攻击 防范业务端的条件竞争,一般的方法是设置锁。 漏洞案例:利用高并发请求抢占时间,从而绕过积分限制实现多次抽奖。

    1.1K30编辑于 2022-12-01
  • 来自专栏Java帮帮-微信公众号-技术文章全总结

    月活近 5 亿,微博是如何做业务安全的?

    拥有数亿用户,月活近 5 亿,微博是如何做业务安全的? 想弄清这个问题,我们要明白:作为社交媒体平台,安全对微博意味着什么?或者说,为什么安全对微博很重要? 最后,根据不同业务的需求,提供不同的接入方式,则是业务安全的对外表现形式。 再不重视业务安全,你就 Out 了 当今,互联网深入发展,传统安全的外延大大扩大。 “所以,业务安全容易被高层重视,也容易获得更多的公司支持。”他表示。 在何为舟看来,业务安全不仅非常重要,而且与网络安全有不同的侧重点。对公司来说,都是用网络安全的思维去做业务安全,这是行不通的。 因此,可以总结出各种安全标准、等保规范等。 何为舟表示,“但对业务安全来说,每个公司每个业务安全需求和面临的威胁都是不一样的,很难说有一套业务安全体系能适应所有的公司。 只有业务能接受安全提出的解决方案,才能推动业务去接受业务安全的相关服务,并愿意付出一定的成本进行接入。 二是,需要多进行沉淀和积累,总结业务需求,搭建通用的安全体系,让业务可以更方便的接入。

    1.6K62发布于 2019-11-01
  • 来自专栏天存信息的专栏

    WEB安全新玩法 业务安全动态加固平台

    但是,Web 应用的业务功能日益丰富、在线交易活动愈加频繁,新的安全问题也随之呈现:基于 Web 应用所承载的交易特性,某些利用其业务逻辑设计缺陷来构造的针对具体业务的攻击逐渐成为主流,我们称之为业务层攻击 以传统的应用层安全来讲,这种自动化的模拟完全遵循正常的业务逻辑,提交的业务数据也都是合规数据,因此并未呈现出任何安全问题。 四、修补漏洞代价大 业务安全漏洞的修复,并非通过加入一两段验证代码就能达到目的,往往需要修改业务处理流程,甚至很有可能在修补一个已知漏洞时,带来更多新的漏洞。 基于主体概念,业务安全动态加固平台可以统计访问行为,做出持续的裁决。 因此,在这种解决方案下,Web 安全产生了一种新玩法,即:安全测试人员在发现漏洞后,利用业务安全动态加固平台现场写出修复代码来供开发人员参考,并且在开发人员修复代码之前,可以通过测试人员编写的虚拟补丁来及时地和非侵入式地缓解或解决已发现的业务安全问题

    73310发布于 2021-06-22
  • 来自专栏顶象技术业务安全专栏

    11月业务安全月报

    11月业务安全月报 | 台湾2300万人信息泄露;黑客两分钟即可破解安卓锁屏;乌克兰”IT军团“入侵俄罗斯中央银行导语:随着数字化的深入普及,业务愈加开放互联。 企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。 为了让大家更全面的了解网络安全的风险,顶象自7月起将针对每月值得关注的安全技术 和事件,包括业务安全、内容安全、移动安全等进行盘点总结。 据悉,《信息安全技术关键信息基础设施安全保护要求》是关键信息基础设施安全保护标准体系的构建基础,将于2023年5月1日正式实施。 标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了

    86450编辑于 2022-12-02
  • 来自专栏我的安全视界观

    【漏洞赏析】安全业务那些洞

    {初衷} 很早之前的某一个月,初步完成了运维安全方面漏洞的总结; 后来实战时思路短缺,恰巧看到业务安全漏洞挖掘归纳总结。 此文章主要是持续记录归纳、总结、实践业务相关漏洞(逻辑漏洞), 正好可以改变渗透测试时、参加众测禁止使用扫描器时的无思绪窘态。 {思路} 关于业务安全那些洞,想说的太多,但是能说出来的却很少。 因为刚开始做业务安全不久,视角、眼光、积淀还远远不够,所以只好把以前的“业务逻辑测试评估”以prezi的形式分享。 <1>挖掘方法 1)浏览网页,查看业务流程 众所周知的渗透第一步是信息搜集,其实挖逻辑漏洞第一步也是如此。倚着柔软的椅子,听着喜欢的节奏,手握鼠标轻快地在目标系统上来回滑动,系统功能映入眼帘。 大佬可能看一眼就知道这个场景可能、或许存在一些安全漏洞,抓个包仔细想想就可能知道参数的来龙去脉以及哪一个参数最重要。逻辑漏洞就是靠思路 >>> 工具,难怪有人会说BURP在手天下我有。

    1.1K90发布于 2018-06-12
  • 来自专栏全栈程序员必看

    Web安全业务逻辑漏洞

    业务逻辑 不同的项目有不同的功能,不同的功能需要不同的代码实现,实现这些核心功能的代码就叫业务逻辑。 业务逻辑漏洞 业务逻辑漏洞是指由于程序逻辑不严谨或逻辑太复杂,导致一些逻辑分支不能正常处理或处理错误。 常见的业务逻辑漏洞 业务逻辑漏洞挖掘过程 确定业务流程—>寻找流程中可以被操控的环节—>分析可被操控环节中可能产生的逻辑问题—>尝试修改参数触发逻辑问题 业务逻辑漏洞 1.URL跳转漏洞 1.1 5.3.修复方法 1.基础安全架构,完善用户权限体系。 2.鉴权,服务端对请求的数据和当前用户身份做校验; 3.不要直接使用对象的实名或关键字。 4.对于可控参数进行严格的检查与过滤! 比如:退押金,按用户原支付订单原路退回; 5.MD5 加密、解密、数字签名及验证,这个可以有效的避免数据修改,重放攻击中的各种问题; 6.金额超过指定值,进行人工审核等。

    2.4K20编辑于 2022-09-05
  • 来自专栏FreeBuf

    业务安全架构思维

    关于架构的理解有很多人会有误区,认为架构是一个很大的整体框架,像安全架构就是综合所有安全设备的一个框架,其实并不是这样,架构是为了设计系统的元件如何划分、元件之间如何发生相互作用,以及系统中逻辑的、物理的 同时由于业务需要大量调度与查数据库,为避免大量查询语句影响数据库性能,引入redis进行数据缓存来减轻数据库的压力。 这是整体业务的架构思维,那么下面重点来讲一下围绕业务架构思维展开的安全架构思维。 首先明确一点,安全是离不开业务的,任何安全点的设计都应该充分考虑业务。 由于业务都是使用代码实现的,代码审计是必须的安全点,那么在安全架构设计思维初期,首先就要考虑代码审计。 在保证了外部的相对安全后,要考虑内部的相对安全,加密传输无疑是比较大众和方便的一种手段。 同样内部安全永远离不开运维监控的支持,只用做好协同,才能保证相对稳定与安全的服务器环境,而安全、稳定、高效、灵活,才是业务架构的根本所在。

    99620发布于 2020-02-20
  • 来自专栏绿盟科技研究通讯

    解析5G安全(二):5G安全需求

    3GPP将这些应用归纳为三大应用场景:增强型移动宽带(eMBB)、超高可靠性低时延业务(uRLLC)和海量机器类通信(mMTC)。针对不同的应用场景,终端也有不同的安全需求,如图2所示。 ? ? 为了对切片认证进行认证,5G在用户接入网络时完成认证之后,还需要为接入特定业务建立认证。 位于接入机房处的边缘云规模较小,容易遭受物理攻击,但距离用户终端最近,能够为业务提供超低时延保障。位于边缘机房的边缘云规模较大,虽然时延相对前者较大,但可靠性、安全性更高。 三、面向多垂直行业驱动的切片安全需求 国际电信联盟将5G业务划分为三个类型:增强型移动宽带(eMBB)、超高可靠性低时延业务(uRLLC)和海量机器类通信(mMTC)。 每个类型有不同的服务质量需求,如uRLLC业务需要满足低时延、高带宽,而海量机器类通信需要支持大连接,但对网络时延并不敏感。 为了能够根据不同业务构建不同网络,5G引入了网络切片的概念。

    8.7K22发布于 2019-12-11
  • 来自专栏C/C++基础

    腾讯业务安全岗 IDP 谈话总结

    1.简单回顾 入司将近 6 个多月,从对安全业务的懵懂,到现在独立负责加好友和天御系统,中途遇到了很多问题,在 bear、otis、dongdong 和同事的指导和帮助下,克服和解决问题后,对业务安全工作有了更深入的理解 记忆犹新,接手加好友安全运营业务后,遇到了coati总被骚扰的case。初遇case,手足无措。 2.运营与技术并重 业务安全的工作,起初并不理解,在经过近半年的切身投入后,发现与业务直接关联的工作,是繁杂、琐碎,也是挑战与责任并重的事。 剥丝抽茧,站在更高的维度,使用技术压制恶意,如AI,在准确率与覆盖寻求平衡,才能让自己抽身于繁杂无尽、白热化的安全业务对抗。 奋战在业务安全工作的一线同学,每一个人都要独挡一面,每一个人都是主力。 (2)安全事件无小事,及时响应与同步; (3)Owner 意识,数据运营,结果导向; (4)不管黑猫白猫,抓到老鼠就是好猫,快速解决问题,不管使用什么方法; (5)利弊面前,做好取舍。

    60240编辑于 2022-09-19
  • 来自专栏DevOps时代的专栏

    业务安全与 DevSecOps 的最佳实践

    广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全业务系统自有的软件与服务的安全业务安全的内容怎么把它转化成相应的金额?我去年做安全工作,我把安全分成几部分。不管是APP,还是网站,还是H5界面,只要有用户进来,都有账户体系,这是账户安全。 我们放在微信公众号里吸引客户注册的,如果出了问题造成信息泄露,H5安全性比较弱,我们只能做客户的引流,所以这块是没有问题的。如果这些沟通好了,我们就可以做DevSecOps了。 业务安全的内容怎么把它转化成相应的金额?我去年做安全工作,我把安全分成几部分。不管是APP,还是网站,还是H5界面,只要有用户进来,都有账户体系,这是账户安全。 我们放在微信公众号里吸引客户注册的,如果出了问题造成信息泄露,H5安全性比较弱,我们只能做客户的引流,所以这块是没有问题的。如果这些沟通好了,我们就可以做DevSecOps了。

    1.7K20发布于 2018-06-22
  • 来自专栏DevOps时代的专栏

    业务安全-DevSecOps 的催化剂

    业务产品在做到基础安全的同时还做好了业务安全,最终有利于业务部门,有利于老板。 有利于开发测试和运维部门,安全人员怎么给他们提供服务呢? 2.3 基线管理 同时还要有一个比较好的基线的管理,我们这边对业务是进行了一个梳理,你的帐户处理方面基线有哪些? 比如有APP的、H5的。 H5安全性相对低一些,只能做注册、登录和对内支付,比如买万达自己的理财产品,不对对外支付。 基于这些你要对业务有比较好的分析,才能做出上述分析和判断。接下来,我介绍如何向领导和其他部门介绍工作成果。 3.1 业务安全 业务安全是指保护业务系统免受安全威胁的措施和手段,广义的业务安全还包括像IT系统的软硬件平台、操作系统、数据库、中间件,还有业务系统本身的软件设备,还有业务系统的那些服务。 因为你的业务在不断变化,公司架构肯定也是在不断变化,安全需求变化还是比较频繁的,结合业务来完善基础安全要求,结合业务调整系统构架,同时自动输出开发安全要求、业务安全要求、运维安全要求,这样就真的做好了,

    1.1K50发布于 2018-02-02
  • 来自专栏智能时刻

    业务架构】业务能力转型组织的前 5 个用例

    业务能力可以是位于业务层中的链接元素,IT 可以将组件映射到该元素,并且该业务能够轻松理解。 此用例要求项目确定它们支持的业务能力,并在需求和项目组合流程开始之前集中收集结果。这还要求为整个组织制定业务能力图,并指示每个能力的战略相关性。 根据他们启用的业务能力应用业务能力对它们进行集群,这使得优化应用程序环境变得更加容易。目标是拥有这样一个细粒度的业务能力映射,不超过 5 到 10 个应用程序映射到一个业务能力。 这允许每个业务能力集群相互独立地分析应用程序。例如,这可以通过应用时间分析来完成,该分析评估每个应用程序的业务匹配度和 IT 匹配度,并将其分配到矩阵中。 业务匹配可能是业务增值、业务关键性、用户数量、部门、使用应用程序的国家或分配收入的结果。 IT 契合度可能是底层技术支持、应用程序安全性、源代码可用性、响应时间、问题等的结果。

    37620编辑于 2022-09-26
  • 来自专栏绿盟科技研究通讯

    《云原生安全: 攻防实践与体系构建》解读:业务安全

    《云原生安全: 攻防实践与体系构建》解读:业务安全篇 随着云原生技术的发展,业务系统从原有的单体架构逐步转换为微服务架构。微服务架构使应用的开发和业务的扩展变得更加便利,同时也带来了许多新的安全问题。 那么,生长在云原生环境下的业务系统面临着哪些安全隐患?攻击者如何利用这些隐患对业务系统进行攻击?针对所存在的隐患和可能面临的攻击如何进行异常检测和安全防护? 在享受微服务为开发带来便捷的同时,安全性也成为了不可忽视的问题。若是业务系统出现安全问题,由于微服务架构整个应用被分成多个服务,定位故障点将会非常困难。 《云原生安全:攻防实践与体系构建》书籍中融合了笔者以及其他作者在业务安全上的研究经验,盼望此书籍可为广大读者在微服务业务安全上的研究提供帮助。 本文旨在对《云原生安全:攻防实践与体系构建》书籍中的业务安全部分进行精华解读。若需要详细了解云原生业务安全或希望对云原生安全有更加宏观的了解,请参照具体书中章节,若有任何问题可随时联系作者。

    1.2K30发布于 2021-11-10
  • 来自专栏F12sec

    业务安全之短信&邮箱验证码

    短信&邮箱验证码轰炸 本文对目前网络上与业务安全相关的短信&邮箱验证码进行整理。 收集自: 国外BountyTips 乌云漏洞库 各大安全类媒体(论坛、公众号等) 0x01 特殊符号绕过短信&邮箱轰炸限制 Request phone=111*****123 或 email=test@ uid=bI5ic82NWiGyJ0N2LJqTerytFYVGC6CPj4oNOH3b 额外的补充 漏洞挖掘在于细心尝试,可能前台登陆处发送短信验证码不存在任何漏洞,但是可以尝试登陆后查看后台中是否有与发送短信

    4.2K20编辑于 2022-12-30
  • 来自专栏腾讯安全

    腾讯安全黎巍:业务上线之初就要把安全纳入考量

    在转战产业互联网的过程中,他们又如何理解国内产业升级过程中企业面临的安全风险与挑战?9月5日至11日,2022年国家网络安全宣传周在全国范围内统一开展,值此期间,南方都市报专访了腾讯安全副总裁黎巍。 图片业务上线之初就要把安全纳入考量南都:在社交网络业务安全、云计算安全领域,近些年面临的安全威胁和以往相比有什么变化? 整个腾讯安全,最近几年主要聚焦To B的安全,现在也围绕云安全构建整个安全体系,包括基础安全业务安全,最近几年都在发力。 此外,我们在面向业务场景的安全做了非常多的探索,包括在反欺诈,包括网络和电信安全,各种流量方面的业务安全攻击方面,是我们这几年大力投入和发展的方向。 互联网企业相对传统企业而言,会面临更多来自业务逻辑层面的风险,也叫做“业务安全”,例如羊毛党、黄牛党、违规内容、虚假广告等等,因此互联网企业做安全会更加关注业务发展,安全建设不仅仅是企业的底线,更是决定企业发展的天花板

    54520编辑于 2022-09-19
领券