- 背景
- 沙龙议程
- CAPPVD技术支撑单位
- 移动安全攻防场景
- 基于红队建立移动安全能力管理平台(梆梆)
- 移动互联网安全新视角,打造移动漏洞挖掘利器 (工商银行)
- 移动APP扫码功能安全威胁梳理(中山大学)
- CAPPVD漏洞库漏洞治理分享
- 2023年移动互联网APP产品安全漏洞治理优秀案例征集
- 移动APP在数据交互过程中的安全问题
- APP全生命周期安全应用实践(中国联通)
- APP漏洞全链路治理平台解决方案(斗象)
2023年首期移动互联网APP产品安全漏洞技术沙龙-CAPPVD
背景
为持续贯彻落实《网络产品安全漏洞管理规定》,中国软件评测中心(工业和信息化部软件与集成电路促进中心)、工业和信息化部网络安全威胁和漏洞信息共享平台移动互联网APP产品安全漏洞专业库现拟定在江苏南京举办“2023年度首期移动互联网APP产品安全漏洞技术沙龙”。本期沙龙旨在促进国家移动互联网APP产品安全漏洞管理工作,引导各单位建设规范有序的漏洞发现、收集、验证、修补等漏洞管理机制,搭建专业的移动互联网APP产品安全漏洞交流平台,防范网络产品安全风险。
沙龙拟宣贯漏洞管理规定、行业监管要求及国家APP漏洞库工作机制,发布2023年移动互联网APP产品安全漏洞专业库新增技术支撑单位,邀请来自电信、互联网、金融、安全等行业企业的相关专家围绕APP产品安全漏洞治理相关主题作主题分享,共同为如何优化移动互联网APP产品安全漏洞管理工作提供宝贵思路和建议,携手推动移动互联网安全产业健康有序发展。
- 沙龙时间:2023年07月12日上午9:00至下午5:30
- 沙龙地点:江苏省南京市鼓楼区山西路51号凤凰京华大酒店凤凰和鸣厅
- 指导单位:工业和信息化部网络安全管理局
- 主办单位:中国软件评测中心(工业和信息化部软件与集成电路促进中心)、工业和信息化部移动互联网APP产品安全漏洞专业库
- 联系邮箱:cappvd@cstc.org.cn
沙龙议程
| 时 间 | 环 节 | 主 题 |
|---|---|---|
| 9:00-9:05 | 工业和信息化部网络安全管理局相关领导致辞 | |
| 9:05-9:10 | 江苏省通信管理局相关局级领导致辞 | |
| 9:10-9:15 | 中国电子信息产业发展研究院总工程师高炽扬致辞 | |
| 9:15-9:30 | CAPPVD漏洞库工作机制分享 | 秦晓磊 CAPPVD漏洞库负责人 网络安全和数据安全研究测评事业部副总经理 |
| 9:30-9:50 | 江苏省移动互联网APP产品网络安全监管工作要求解读 | 韦芹余 江苏省通信管理局 网络安全管理处 |
| 9:50-10:15 | 基于红队建立移动安全能力管理平台 | 黄 潇 北京梆梆安全科技有限公司安全服务中心技术总监 |
| 10:15-10:40 | 人工智能在网络安全&移动APP加密流量识别的应用 | 胡文友 北京金睛云华科技有限公司联合创始人&副总裁 |
| 10:40-10:50 | 颁发2022年移动互联网APP产品安全漏洞治理优秀案例证书 | |
| 10:50-11:10 | 移动互联网安全新视角,打造移动漏洞挖掘利器 | 谭桂涛 中国工商银行业务研发中心移动安全专家 |
| 11:10-11:35 | 移动互联网供应链安全开源治理方案 | 周 幸 悬镜安全技术合伙人 |
| 11:35-12:00 | 移动APP扫码功能安全威胁梳理 | 南雨宏 中山大学软件工程学院副教授 |
| 12:00-13:30 | 午餐、午休 | |
| 13:30-13:50 | CAPPVD漏洞库漏洞治理分享 | 王 琦 CAPPVD漏洞库高级安全专家 |
| 13:50-14:15 | 移动APP在数据交互过程中的安全问题 | 郝 龙 远江盛邦(北京)网络安全科技股份有限公司安全服务产品线总经理 |
| 14:15-14:40 | APP全生命周期安全应用实践 | 周 映 中国联合网络通信有限公司软件研究院资深安全专家 |
| 14:40-15:05 | 基于源码的虚拟化防护技术 | 佟金龙 三六零天御安全专家 |
| 15:05-15:15 | 颁发2023年CAPPVD漏洞库新增技术支撑单位证书 | |
| 15:15-15:35 | 茶 歇 | |
| 15:35-16:00 | 移动端小程序的架构安全 | 陈 旦 小米科技(武汉)有限公司高级安全专家 |
| 16:00-16:25 | APP漏洞全链路治理平台解决方案 | 马 军 上海斗象信息科技有限公司安全专家 |
| 16:25-16:50 | 动静态技术结合精确挖掘移动App Webview漏洞 | 鲁 璐 阿里-杭州橙盾信息科技有限公司高级安全专家 |
| 16:50-17:15 | Android POS机漏洞挖掘之旅 | 张一峰 北京长亭科技有限公司高级APP专家 |
| 17:15-17:30 | 线下观众抽奖和嘉宾抽奖 |
CAPPVD技术支撑单位
二星支撑单位 (排名不分前后)
- 北京梆梆安全科技有限公司
- 小米科技有限责任公司
- 远江盛邦(北京)网络安全科技股份有限公司
- 上海斗象信息科技有限公司
- 三六零数字安全科技集团有限公司
- 中国联合网络通信有限公司软件研究
- 山东新潮信息技术有限公司
- 北京众安天下科技有限公司
- 浙江大华技术股份有限公司
- 浙江御安信息技术有限公司
一星支撑单位 (排名不分前后)
- 奇安信科技集团股份有限公司
- 北京智游网安科技有限公司
- 北京神州绿盟科技有限公司
- 北京天融信网络安全技术有限公司
- 武汉安天信息技术有限责任公司
- 北京永信至诚科技股份有限公司
- 北京安普诺信息技术有限公司
- 深圳市网安计算机安全检测技术有限公司
- 北京时代新威信息技术有限公司
- 江苏骏安信息测评认证有限公司
- 江苏通付盾信息安全技术有限公司
- 新疆量子通信技术有限公司
- 郑州云智信安安全技术有限公司
- 深圳市腾讯计算机系统有限公司
- 深圳海云安网络安全技术有限公司
- 天翼安全科技有限公司
- 北京山石网科信息技术有限公司
- 西北工业大学软件学院
- 深圳市博通智能技术有限公司
- 深圳市能信安科技股份有限公司
- 北京云测信息技术有限公司
App备案政策依据
- 《互联网信息服务管理办法》:在中华人民共和国境内提供非经营性互联网信息服务,履行备案手续,实施备案管理。
- 《中华人民共和国反电信网络诈骗法》:2022年12月,国家正式发布。”第二十三条 设立移动互联网应用程序应当按照国家有关规定向电信主管部门办理许可或者备案手续“
移动安全攻防场景
初始访问
- 在可信应用市场投递恶意应用
- 通过其他渠道投递恶意应用
- Drive-by Compromise 。意思是网站、短信进行远程漏洞利用攻击,不同于发送钓鱼附件。
- 通过PC、充电设备入侵
- Exploit via Radio Interfaces。 通过基站、蓝牙、WiFi、NFC等漏洞进行远程攻击
- 不安全的安装和装置。 通过非法证书(iOS)、钓鱼邮件附件、短信诱导安装。
- 锁屏绕过。绕过锁屏接触设备、安装应用。
- 伪装合法应用
- 供应链攻击
代码执行
- 通过广播执行代码。利用Android的组件、跨进程交互的方式执行代码
- 执行命令行代码
- 执行原生代码
- 定时任务
持久化
- 通过广播执行代码。利用Android的组件、跨进程交互的方式执行代码
- 代码注入。注入代码到其他进程执行
- 篡改其他应用的可执行文件二次打包
- 前台持久化
- 修改缓存可执行代码。修改Android的ART编译后的文件
- 修改系统内核或者启动分区
- 修改TEE
- 定时任务
权限提升
- 代码注入
- 获取设备管理员权限
- 利用系统漏洞
- 利用TEE漏洞
防御绕过
- 应用列表分析
- 代码注入
- 删除设备数据
- 设备锁定。类似于勒索软件锁定设备,阻止接触。
- 伪装ROOT/越狱检测标志
- 动态下载代码执行
- 检测分析环境
- 地理位置锁定
- 输入注入
- 不安全的安装和配置
- 伪装合法应用
- 修改系统内核或者启动分区
- 修改系统分区
- 修改TEE
- 原生代码。使用原生代码逃避检测
- 文件混淆
- 使用其他受害者作为跳板
- 隐藏应用图标
- 卸载恶意程序
凭据访问
- 获取通知信息。从设备的通知获取敏感数据。
- 通过日志获取敏感数据
- 获取应用本地敏感数据
- 获取剪贴板数据
- 获取短信数据
- 利用TEE漏洞获取TEE数据
- 输入劫持。假输入法。
- 伪装系统弹窗获取数据
- 获取KeyChain数据
- 流量劫持和重定向,相当于挂代理
- URI劫持
发现(资产收集)
- 应用列表分析
- 检测分析环境
- 文件读取
- 地理位置记录
- 网络扫描
- 进程列表
- 收集信息
- 收集网络配置信息
- 收集网络连接信息
横向移动
- 通过USB攻击PC
- 攻击企业内部资源
信息收集
- 获取日历信息
- 获取通话记录
- 获取联系人信息
- 获取通知信息
- 通过日志获取敏感数据
- 获取应用本地敏感数据
- 非法录音
- 非法录屏
- 获取剪贴板数据
- 获取短信数据
- 获取本地系统数据
- 前台持久化,及界面劫持
- 输入劫持,假输入法
- 地理位置跟踪
- 网络信息收集
- 流量劫持和重定向
- 屏幕截图
命令 &控制(远程控制)
- 其他网络媒介,也就是通过其他渠道和CC服务器连接
- 使用常用端口。使用常用的端口隐藏恶意行文,指的是服务器的端口。
- 使用DGA。使用域名生成的算法生成域名,而不是使用固定的域名
- 远程文件复制
- 标准应用层协议
- 标准加密协议
- 不常用的端口
- web服务
数据渗漏
- 其他网络媒介,也就是通过其他渠道和CC服务器连接
- 使用常用端口。使用常用的端口隐藏恶意行文,指的是服务器的端口。
- 数据加密。CC的通信数据加密,避免流量检测。
- 标准应用层协议
影响
- 恶意扣费
- 剪贴板数据修改
- 恶意加密数据(勒索软件)
- 删除设备数据
- 设备锁定(勒索软件)
- 刷广告流量
- 输入注入
- 应用市场刷单
- 修改系统分区
- 窃取短信
基于红队建立移动安全能力管理平台(梆梆)
结合ATT&CK for Enterprise、ATT&CK for Mobile以及国内企业移动互联网发展的情况,梆梆安全攻击队在实践中总结了一套从移动端发起攻击的战法,并形成定制化ROM作为攻击平台。
信息收集
- 内部应用
- 外部应用
逆向分析
- 配置信息
- 泄露数据
动态调试
- 日志泄露
- 内存明文密码
- 加密秘钥
逃避检测
- 代码篡改
- 改机插件
代码注入
- 流程篡改
- 插件开发
- 内容替换
漏洞利用
- 泄露数据
- 攻击业务
- 人脸识别绕过
权限提升
- 越权访问
- 泄露数据
数据收集
- 用户数据
- 业务数据
- 网络数据
网络突破
- 获取服务端权限
- 获取内网权限
ATT&CK
- 常规网络攻击
定制测试工具
- 内核修改过反调试
- 开启硬件断点
- 自动弹出USB调试
- 脱壳测试(黑名单、白名单过滤、更深的主动调用链)
- ROM打桩 (ArtMethod调用、RegisterNative调用、JNI函数调用)
- frida持久化(支持listen,wait,script三种模式)
- 反调试(通过sleep目标函数,再附加进程来过掉起始的反调试)
- trace java函数(smali指令的trace)
- 内置dobby注入
- 支持自行切换frida-gadget版本
- 注入so
- 注入dex (实现免root的xposed)
工具原理说明
通过修改Android系统源代码,实现非root环境中可以对移动应用进行注入。
网络安全行业痛点分析
传统安全产品越来越无效
- 未知威胁层出不穷
- APT挑战安全基线
- 加密流量越来越多
- IDS误报率居高不下
- 安全成为性能瓶颈
- 被动防范落后于人
”人”成为最大的成本及短板
- 安全分析人员的培养时间长,当前人才缺口极大–150万:5万
- 安全分析人员是最大的成本单元(平均月薪)
- 前端研发:1.5
- 后端研发:2
- 安全分析员:3.5
- 产品经理:3
- 技术售后:1.5
移动互联网安全新视角,打造移动漏洞挖掘利器 (工商银行)
就职于中国工商银行安全攻防实验室,主要负责移动安全攻防技术研究、应用安全测试、漏洞挖掘,同时随队参加安全攻防演练和相关比赛,擅长武器定制、移动APP逆向、黑灰产对抗等。
- 2022年“金融密码杯”全国密码应用和技术创新大寒挑战赛道开幕赛及正式赛双冠军;
- 安全攻防演练优秀技战法《基于自制红队专用手机提作系统破解APP技战法》作者;
- 黑灰产对抗技术研究,参与《2022网络金融黑产研究报告》编写
得益于Android系统开源的特性,我们可以在原生系统的基础上拓展以满足日常安全测试、漏洞挖掘攻防演练、黑灰产对抗及比赛等工作需要,全面覆盖各种应用场景对黑灰产对抗而言,支持人脸识别绕过、一键改机、虚拟定位等功能;对于APP逆向而言,支持一键??修复、客户端防护策略的破解等等。另外,该工具也可用于应用漏洞挖掘、恶意行为分析等。
完美Root隐藏方案: 抽取KernelSU核心逻辑,定制内核自留Root后门
主流的Root方案:
- 方案一:利用漏洞提权
- 方案二:编译非release版系统
- 方案三:Magisk
- 方案四:KernelSU
KernelSU是基于内核的Root解决方案它工作在内核空间,并直接在内核空间为用户空间的应用程序授予Root权限。而Magisk虽然也是通过修补内核的方式实现,但是其工作在用户空间,应用程序仍然可通过内存检查等手段进行对抗。
提升灵活性:
定制操作系统编译成本较高,每次修改都需要重新编译生成各个系统镜像后刷机,比较消耗时间,并且非常不灵活。而类似于Xposed、frida的Hook框架支持我们灵活的对目标APP的关键函数进行参数、返回值的劫持和修改。
取长补短: 定制操作系统集成Hook框架! ! !
frida是开源的!可以从github获取frida的源码进行二次开发可通过全量替换“frida”等处理实现去特征!
最终方案: 定制操作系统预置frida-server无需通过PC端命令启动,除此之外支持脚本持久化。
提升便捷性:
移动端漏洞挖掘往往离不开抓包、Hook/调试、反编译三件事,一般情况下我们需要同时操作PC端和移动端多个设备,而某些场景并不支持我们携带多个设备。为了提升便携性,可以在我们定制的操作系统中集成相关功能。
内置抓包方案: VPN抓包+HOOK抓包+沙箱抓包+eCapture抓包
内置反编译方案
内置HOOK方案
云端模块库,支持移动端根据实际需要下载合适的模块,
魔改frida gadget库,支持手机本地编写Hook脚本。
某个组件对外导出,那么这个组件就是一个攻击面。
通过修改系统源码,可在解析的时候固定exported属性为true,也就是始终允许组件导出。可遍历manifest文件中注册的Activity组件列表,依次访问验证是否存在安全风险。如右图所示,可成功访问某APP的测试配置页面,该页面存在测试环境相关信息的泄露问题,并且可关闭证书校验防截屏等防护策略。
- ROOT/越狱
- Blackbox、Xposed、VMOS、Magisk
- MT Manager、NP Manager、Arm Pro、CNFIX、MODEX
- 雷电、夜神、逍遥、腾讯、MUMU
- 双开助手、分身精灵、小X分身、分身大师、比翼多开
移动APP扫码功能安全威胁梳理(中山大学)
大规模分析,不安全扫码组件使用情况
- 377/800(47.1%) APP支持二维码扫码功能(S1)
- 287/800(35.9%) 287/377 (76.1%) 允许扫码启动WebView(S2)
- 115/800 (14.4%) 内置二维码组件无任何URL校验 (S3)
思考:
应对措施
- 用户:不扫来路不明的二维码,谨慎对待扫码后的信息
- App开发者: 做好白名单校验,减小RAH暴露
- 框架提供方:提供针对自定义RAH的有效保护警示、示例代码
- 监管方: 扫码功能成为应用安全重点评估对象
CAPPVD漏洞库漏洞治理分享
OWASP 2023 移动安全漏洞 Top 10 (Beta版)
- 身份鉴别漏洞 Insecure Authentication/Authorization
- 通信漏洞 Insecure Communication
- 供应链安全漏洞 Inadequate Supply Chain Security
- 个人信息保护漏洞 Inadequate Privacy Controls
- 凭证泄露漏洞 Improper Credential Usage
- 输入输出校验漏洞 Insufficient Input/Output Validation
- 程序配置漏洞 Security Misconfiguration
- 加密漏洞 Insufficient Cryptography
- 数据存储漏洞 Insecure Data Storage
- 二进制保护漏洞 Insuffcient Binary Protections
暂未归类的6个类型
- 数据泄露
- 密钥硬编码
- 不安全的访问控制
- 路径遍历漏洞
- 未受保护的组件(Deeplink,ActivitityService组件等)
- 不安全的共享
CAPPVD 常见漏洞类型
- 业务逻辑漏洞
- 组件漏洞
- 本地代码执行
- 弱口令
- 远程代码执行
- 越权
- 第三方SDK漏洞
- 配置错误
- 通信安全漏洞
恶意行为
- iOS漏洞
- Android漏洞
- 小程序/公众号漏洞
- 源代码安全
- 信息泄露
- CSRF
- SSRF
- SQL注入
- 第三方威胁情报
个人隐私安全
- 二维码凭证泄露漏洞(搜索了解)
- 绕过本地加密越权漏洞(搜索了解)
漏洞通报机制:预警通知、整改通知、处置通报
- 网络产品安全漏洞通知单
- 工信部漏洞整改通知
- 工信部漏洞处置通知
2023年移动互联网APP产品安全漏洞治理优秀案例征集
2022年中国软件评测中心作为CAPPVD漏洞库的建设运营单位,从众多参评案例中决出了“2022年度移动互联网APP产品安全漏洞治理十大优秀案例”。今天面向社会公开征集“2023年移动互联网APP产品安全漏洞治理优秀案例”。
| 案例名称 | 单位名称 |
|---|---|
| 基于情报驱动的漏洞管控平台 | 上海斗象信息科技有限公司 |
| 360集团APP全生命周期安全管理平台 | 北京奇虎科技有限公司 |
| 海云安移动应用风险评估系统漏洞管理 | 深圳海云安网络安全技术有限公司 |
| 移动APP二维码扫码安全漏洞发现与修复 | 上海期智研究院 |
| 百度移动端人脸识别安全治理方案 | 北京百度网讯科技有限公司 |
| 移动互联网安全众测保障服务 | 北京众安天下科技有限公司 |
| 移动应用全生命周期管理体系提升移动应用安全漏洞治理能力 | 中国电信股份有限公司上海研究院 |
| 基于漏洞运营的移动互联网APP漏洞管理 | 远江盛邦 (北京)网络安全科技股份有限公司 |
| 移动应用安全违规大数据监测场景化治理 | 中国移动通信集团四川有限公司 |
| 移动互联网APP安全合规检测平台 | 中国移动通信集团重庆有限公司 北京智游网安科技有限公司 |
移动APP在数据交互过程中的安全问题
移动互联网安全包括什么
- 网络传输安全:数据在移动APP与服务器之间的传输过程中容易受到网络中的恶意攻击,如中间人攻击、数据窃取等。
- 数据存储安全:移动APP中的敏感数据一般会被存储在本地设备上,如果未经加密或者存储不当,会容易被黑客通过物理攻击或恶意软件获取。
- 身份验证与访问控制:移动APP在用户身份验证和访问控制上存在漏洞,如弱密码、缺乏双因素认证等,可能导致未授权用户获得敏感数据的访问权限。
- 不安全的第三方库:移动APP常常会使用第三方库来实现一些功能,但如果这些库存在安全问题或漏洞,会给整个APP带来潜在的安全风险。
- 逆向工程和代码注入:移动APP可以被逆向工程师或黑客进行逆向分析,从而获取APP中的敏感数据或者修改APP的行为。
移动互联网安全是什么?
攻击者通过访问链路对「数字资产」(互联网、移动网、人员)进行攻击,突破关键基础设施后达到攻击目的,获取数据和权限。
- 数据:公民数据、科技成果
- 权限:经济利益(挖矿、勒索),环境破坏(政府公信力、关键基础设施)
APP全生命周期安全应用实践(中国联通)
移动应用全生命周期安全与运营方案
开发设计阶段
安全建设
- 移动业务安全
- 安全需求和设计
- 安全管理建设
安全组件
- 通讯协议加密SDK
- 反外挂SDK
- 防界面劫持SDK
- 图形验证码SDK
- 安全密钥白盒SDK
- 安全短信SDK
- 清场保护SDK
- 安全软键盘SDK
安全培训
- 移动安全态势培训
- 移动安全开发培训
- 移动安全攻防培训
安全测评
- 源代码自动化检测
- 移动应用安全检测
- 渗透测试
- 应用安全合规审计
移动应用发布阶段
应用加固
- Android APK加固
- Android SDK加固
- HTML5加固
源码加固
- Android 源代码加固
- iOS源代码加固
移动应用运维阶段
渠道监测
- 钓鱼/盗版APP监控
- APP发布渠道监控
- 渠道监测报告
- 钓鱼/盗版APP电子取证
- 钓鱼/盗版APP危害分析
- 钓鱼/盗版APP下架处理
威胁感知
- 移动应用安全数据采集
- 业务流安全审计
- 反支付欺诈组件
- 定制化安全建模
- 反业务欺诈组件
- 反刷票刷单组件
漏洞响应
- 移动漏洞响应
数据运维推广阶段
运行监测
- 应用运行性能监测
- 应用性能质量测试
升级推广
- 移动应用智能升级
- ASO推广优化服务
三层保障
1、通信认证安全保障
能力
- 通信数据加密
- 数据完整性保护
- 通信身份验证
- 防止中间人攻击
- 通信密钥保护
技术
- 白盒密钥
- 国密算法
- 对称加密
- 动态更换
- 非对称加密
2、应用安全保障
安全防护
- 源代码安全
- 核心代码
- 核心算法
- 密钥保护
- 明文数据
- 业务逻辑
- 服务器接口地址
- 应用安全
- 代码逆向
- 恶意代码植入
- 内存调试
- 二次打包
- 键盘输入数据窃取
- 用户数据窃取
- 运行环境安全
- 越狱/ROOT
- 模拟器
- 外挂/辅助
- 应用多开
- 界面劫持
- 界面录屏/截屏
- 通信安全
- 明文传输
- 数据劫持
- 数据篡改
- 中间人攻击
- 保密性
- 完整性
安全合规
- Android应用安全检测
- 小程序安全检测
- Android SDK安全检测
- 公众号安全检测
- 应用行为合规检测
- iOS应用安全检测
3、数据安全保障
- 绑定认证授权
- 密钥、接口防护
- 代码、逻辑加密
- 隐私合规检测
- 运行风险监测
- 敏感行为识别监控
- 接入身份验证
- 事件评估溯源
- 合规准入基线
- 漏洞定级
- 应急响应制度
- 以SDK、小程序形态提供第三方集成使用
- 集成SDK、小程序的城市超级APP
四重运营
安全建设
提前布局,包括APP应用系统整体安全架构建设以及研发过程中各个层面的安全规划
- 移动业务安全
- 安全需求和设计
- 安全管理建设
- 合规建设
风险评估
对APP/SDK应用安全进行挖掘和修复应用安全风险评估,规避后续业务监管风险
- 应用组件安全
- 应用数据安全
- 应用代码安全
- 源代码安全
安全培训
对APP应用开发系统的安全意识培训,对研发人员进行安全基线及监管要求的建设标准进行赋能
- 安全意识培训
- 移动安全态势
- 移动安全开发
- 移动安全攻防
安全运维
在通过安全分析,检测和解决安全问题,建立从防护到监测到解决的闭环安全机制管理系统
- 渠道检测
- 威胁感知
- 漏洞响应
- 故障处理
APP漏洞全链路治理平台解决方案(斗象)
2022年重点漏洞报送价值:参与国家漏洞库搭建促进国内企业安全能力全面提升
漏洞盒子APP漏洞收录情况
APP漏洞分布
- APP客户端漏洞:1%
- 常规应用程序漏洞:14%
- 代码执行/命令执行:3%
- 逻辑漏洞:60%
- 信息泄露:16%
- 其他:6%
- 常规漏洞依然需要关注
- 账号问题仍然缺乏重视
- 逻辑漏洞是APP类产品的主要问题
- 信息泄露应该放在重点治理方向
漏洞盒子安全能力
- 漏洞盒子-SRC:SRC是漏洞盒子推出的SAAS化订阅服务,为企业用户快速建立SRC安全应急响应平台,匹配《网络产品安全漏洞管理规定》合规需求。企业可自助实现漏洞接收与奖励计划,设置漏洞接收范围,定义漏洞评级,并通过漏洞赏金池的形式进行SRC全程托管管理。
- 漏洞盒子-漏洞情报:漏洞盒子云端漏洞情报库,通过平台多年的攻防数据及数十万漏洞积累对漏洞信息进行清洗提炼、标签化,形成更为通用的结构化知识,帮助企业提高漏洞响应决策。漏洞情报支持 SaaS订阅,支持API查询、邮件、微信方式即即时推送。
核心优势
- 白帽生态:完善的白帽生态,超过110000+白帽安全专家;
- 经验丰富:平台多年运营经验,客户涉及各个领域;
- 服务全面:多种套餐及单项服务结合,灵活制定契合企业需求;
- 漏洞代审:专业团队代企业审核漏洞,节约企业人员成本;
- 漏洞复测:提供专业漏洞复测服务,保证漏洞修复闭环;
- 平台运营:专业运营团队提供一站式的运营服务,快速提升企业SRC影响力;
- 独有情报源:以漏洞盒子平台数十万漏洞信息为情报源,实施漏洞更新,即时感知行业一手漏洞利用情报信息;
- 顶尖实验室:以斗像TCC能力中心、星耀安全实验室和猛犸实验室为漏洞情报的核心支持,第一时间推送相关漏洞研究成果。
- 情报体系完善:情报采集包括但不限于漏洞盒子平台、FreeBuf、CNNVD/CNVD漏洞、国内外开源信息源等,形成了完善的漏洞情报体系;
- 专业情报团队:专业情报分析团队,科学提炼,即时对漏洞信息进行清洗提炼、每日动态更新推送。
文档信息
- 本文作者:zhupite
- 本文链接:https://zhupite.com/sec/CAPPVD-salon.html
- 版权声明:自由转载-非商用-非衍生-保持署名(创意共享3.0许可证)