- 工信部备案号 滇ICP备05000110号-1
- 滇公安备案 滇53010302000111
- 增值电信业务经营许可证 B1.B2-20181647、滇B1.B2-20190004
- 云南互联网协会理事单位
- 安全联盟认证网站身份V标记
- 域名注册服务机构许可:滇D3-20230001
- 代理域名注册服务机构:新网数码
行业资讯
-
云计算服务
云服务器 对象存储 云虚拟主机 融合CDN -
安全服务
DDoS高防IP Web应用防火墙 云堡垒机 IPv6转换 SSL证书 -
IDC服务
服务器租用 服务器托管 -
企业服务
域名服务 备案服务 短信服务 智能建站 DNS解析 -
蓝队云规则
相关规则及法律法规
-
其他
chrome浏览器插件SwitchyOmega的安装(离线安装) Linux centos7上安装tcpping Windows创建共享文件夹 DDOS攻击的危害及防御方法有哪些? 关于企业上云需要知道的问题有哪些? 为什么要选择高防服务器? 中小企业为什么选择云服务器? 企业为什么上云? 影响云服务器价格的因素有哪些? 为什么选择海外云服务器? 浅谈融合CDN 企业该如何选择云服务器的配置? 关于域名注册需要知道的问题有哪些? GPON与EPON的区别 服务降级的设计与实践 微服务端到灰度布发布的探究 微服务化后,需要注意的几点 企业数字化转型的方式 MPLS概述 IS-IS概述 SBIDIOT IoT恶意软件分析 一种面向大数据主动防御的低损耗数据采集方法 简单网络管理协议SNMP Multipoint BFD(M-BFD) 双向转发检测BFD 基于大数据的工控网络安全分析 爆发式流量所带来的安全问题,需要在边缘解决 三层交换技术 二层交换技术 战术环境下节点安全性评估方案 基于机器学习的Web应用入侵威胁检测 小程序的优势及存在的价值 一个完整的网站,由五大部分构成(建站基础篇) 网站建设的市场分析 当下流行建站类型 你所需要了解的外贸建站常识 模版建站与定制开发网站的区别 建站的支出费用如何 化工行业网站建设怎么做? 关于网站建设、小程序制作行业情况 对于企业来说,高端建站和模板建站有什么区别? 建站有哪些需要注意的地方。 餐饮小程序开发 网站备案方法目的耗时 定制网站对于企业有什么好处 大数据:多大的数据才有用 短信群发服务如何避免成为垃圾短信 不租用服务器可以做网站域名备案吗? 网站搭建分为哪些步骤? 注册域名最关键的是? 域名注册和备案的注意事项 企业如何正确选择注册官网域名 ? 众创时代,域名注册都不会那你就OUT了 银行怎样短信营销 为什么营销短信的效果这么差? 【干货】如何编写一条优质的营销短信? 双十一流量引爆—短信营销
-
工业互联网
浅谈工业信息安全防护现状及发展前景 针对工控的勒索软件Cring样本分析 基于区块链的工业互联网安全方法 工业互联网安全防护措施 工业互联网安全漏洞态势分析(2020年) 工业互联网与智能制造是啥关系? 为什么要做工业互联网平台? 互联网产品的信息架构 互联网思维的核心
-
区块链
区块链的潜在用途—数据完整性保护及减少信息决策单点故障 区块链的价值 区块链助力智能制造 区块链与分布式制造 企业布局区块链的战略思考 基于区块链边缘计算下的多维资源管理系统 怎么识别区块链骗局? 区块链和诈骗 区块链几大趋势 区块链小专题 区块链助力构建数据要素市场 区块链目前存在的挑战 区块链技术原理
-
物联网
工业物联网的兴起以及如何降低风险 物联网在物流领域的应用 工业物联网在能源化工领域的应用 工业物联网的体系架构 工业物联网在3C制造领域的应用 工业物联网及工业大数据安全探讨 区块链与物联网的融合 物联网应用技术 物联网对人类生活方式的影响 物联网的低谷与崛起 物联网初见 基于物权的物联网世界 5G+物联网 物联网工程师需要具备哪些技能?
-
新基建
到底什么是数字化转型? 区块链+5G的融合 浅谈工业大数据 “新基建”政策中智能建造的商机 详谈5G新基建 新基建(大数据、云计算、人工智能、区块链、物联网)会带给我们什么机遇?
-
5G
5G新漏洞!用户隐私不再安全 5G技术 5G物联网好戏上场! 5G通信系统及关键技术 5G技术科普知识分享 5G技术将改变执法领域?
-
开发
C语言微服务在OpenShift上的部署 VxLAN技术基础 基于next.js的服务端渲染解决方案 详谈Java集合框架 Mybatis工作流程及其原理 流式遥测(StreamTelemetry)技术介绍 从源码分析微服务网关的设计 从代码分析事务消息&消息延时 前端工程师必备知识 微信小程序开发的魅力在哪里? 为什么要开发小程序 开发小程序APP需要避免的坑 小程序开发 何时该采用LVOOP技术开发应用程序
-
架构
架构设计-异常处理 架构思维之复用 区块链的技术模型架构 架构设计方法论 架构如何落地------四有效管理业务需求 架构如何落地-----三实行目标管理 架构如何落地-----二数字化转型架构实施方法 架构如何落地------一从制定实施路径开始 区块链基础架构之数据层(中) 区块链基础架构之数据层(上) 构架设计与拆分的哲学 什么是Web应用架构 软件架构模式 架构之高性能 架构设计六小原则 架构方法:运用合适的工具表达设计 云计算时代银行传统IT架构及管理方式的变革之路 【云计算】什么是Leaf-Spine(fabric)架构? 云架构的基本层次 民航机场云架构环境下的网络安全研究 云时代如何搭建HA服务架构
-
运维
ecshop网站管理员密码忘记怎么办 vmware esxi6.7 忘记root密码,重置密码 VMware虚拟机安装VMware ESXi 6.7 Linux Python包管理工具pip更换国内源 Linux登录ssh携带密码 10 个你必须掌握的超酷 VI 命令技巧 windows任务栏透明 宝塔面板安装SSL检查提示缺少中间证书处理办法 Linux的进程管理,process linux下常用的日志分析命令 Linux系统修改DNS 怎么让自己的网站更安全? Linux怎么安装宝塔面板 基于自动化运维工具SaltStack、Ansible、Puppet等运维中的难点解析 IT部门的价值在哪里? IT运维自动化解析 从传统IT运维到IT服务管理 IT运维的风险在哪里? 运维篇-存储基本知识梳理 运维篇-快照基础 自动化运维实践 | Ansible介绍 Linux运维工程师所需技能
-
网络安全
Centos7使用Docker搭建Hfish蜜罐 Web安全之同源与跨域 浅谈Android App漏洞 将Python远控隐藏在文档图片中的行动分析 DDoS攻击技术分析与防御 网络安全动态防护,实现从“人防”到“技防” 为什么有的ssl证书会显示中文网站名称? 如果遇到以下情况,可能是您的服务器正在遭受DDos攻击? 堡垒机是干什么的?堡垒机和云堡垒机相比哪个更好呢? 我国ipv6普及率不足1%,如何加快我国ipv6部署 喊话大数据时代的企业用户:你们线上业务的网络信息真的安全吗?关注等保合规了吗? 高防CDN和融合CDN的区别 数据库迁移上云,有哪些注意事项 哪些单位需要做等级保护测评? 防火墙有哪些分类?不同的防火墙对应的特点? 网站应对突发高并发带来的问题及解决方案 ssl证书无效怎么办? HTTP和HTTPS的联系 什么是云安全服务? 高防CDN、高防服务器以及高防IP三者有什么区别? 你还在用免费的ssl证书吗? Web应用防火墙的作用是什么? 说一说漏洞扫描 常见的ssl证书错误原因及解决方法 专业防御大流量DDoS攻击 新手的福音!IPv6的新手指南 网络安全与信息安全浅析 渗透测试之信息收集 渗透测试服务 等保合规安全解决方案 北美市场可用 IPv4 地址耗尽!IPv6 接棒靠谱吗? Windows安全加固 WEB应用防火墙waf IPV6就能解决物联网的地址问题吗? IPv6:让每一粒沙子都拥有IP地址 IPv6 改造方案分析 关于ipv6的那些事 ssl证书有哪几种类型? 云安全服务是什么? 租用高防服务器暴露真实IP会有什么后果! 正经科普:怎么选择高防CDN和高防IP 网络安全设备之“防火墙” 网络安全加固的必要性 什么是Web应用防火墙 什么是 Web 应用程序防火墙 (WAF)? 浅谈WAF应用防火墙部署 高防IP是什么?有什么作用呢 高防ip和高防服务器的区别是什么 防火墙安全技术要求和测试评价方法 从WEB应用防火墙hihttps谈机器学习之自主对抗 Redis安全加固 centos系统安全加固的一些建议设置 什么是云堡垒机 web应用防火墙 ipv6真的要来了 IPv6入门笔记- 改造方案 服务器被攻击后怎么处理 ipv6轮到你大展身手了 漏洞检测的几种方法 网络安全等级保护基础知识 网络安全防护那些事儿 什么是Web应用防火墙? 什么是DDOS高防IP? 安全加固是是什么? 免费的ssl证书和付费的ssl证书有什么区别? 网络安全——SSL证书 SSL证书选择指南 电商为什么要安装SSL证书? SSL证书如何选择? 什么是ssl证书? 云环境下基于生灭过程的DDoS攻击抵御成本最小化 结合网络,描述一下DDoS基本攻击类型 关于DDoS攻击 网络信息安全等级保护测评方法分析 网站被木马恶意篡改了怎么办? 浅谈等级保护测评 中国抗DDoS市场全景图
-
IDC
Windows server利用MegaCli检查raid及硬盘状态 IDC选址逻辑:市场需求决定资产长期价值,产业政策决定短期供给
- 政务云
-
云计算
云南云服务器购买 云南云服务器比较 云南云服务器试用 免费的云南云服务器 云南云服务器怎么选 哪家云南云服务器稳定 哪家云南云服务器安全 哪家云南云服务器价格低 哪家云南云服务器服务好 云南云服务器哪家好 云南云服务器哪家便宜 哪家云南云服务器优惠 哪家云南云服务器性价比高 云南云服务器哪家好? 云南服务器托管哪家好? 云南服务器托管选哪家 云服务器的配置要怎么选? 选购云服务器有哪些注意事项? 香港服务器建站的优势 推荐一些真正便宜的企业云服务器? 适合中小企业的云服务器 企业网站怎么选择云服务器? 企业使用云服务器的优势是什么? 昆明国家级互联网骨干直联点获批:省内流量不再绕转成都等地 什么是OSS?5分钟带你了解! 分布式计算 云计算+——赋能科技创新布局 云服务器1M带宽有多大,购买服务器时如何选择服务器带宽? 蓝队云双11活动,云服务器0.9折来袭 “.商标”域名,保护企业品牌利益不被侵犯! 网站打开速度慢的代价:超过3秒就会有57%的用户离开! 如何选择合适的对象存储? 如何低价购买云服务器? 虚拟主机的配置及原理 什么是高防云服务器?高防服务器的优势有哪些? 云服务器到期了怎么办? 域名备案需要准备什么? 使用云服务器的优势 云服务器和VPS服务器对比有哪些优势? 直播系统搭建为什么需要云服务器 手摸手带你玩转云服务器 海外高防云服务器的安全防护 云服务器和云盘的区别 云服务器有哪些维护技巧,你都知道多少? 三种云计算安全服务模式定义企业安全 迁移到云计算服务的五大理由 可能危害云服务器安全的因素有哪些? ssl证书过期了怎么办? 1H2G的云服务器能用来干什么? 云服务器小常识 MySQL体系架构 如何保护云服务器的安全? 什么是域名解析? 说说虚拟主机的配置及原理 域名为何要实名制,还要进行备案? 虚拟主机使用独立IP对网站有什么好处? 对象存储适用于哪些场景? 买一个好的云服务器需要多少钱? 服务器硬件基础知识 个人如何注册域名? 服务器托管和租用区别 服务器迷惑行为大赏 服务器采购要注意哪些事项? 服务器,你了解吗? 代理服务器,网关,网络协议,都什么鬼东西啊 如何为中小型企业购买更好的服务器硬件 从应用角度比较块存储、文件存储、对象存储 创业初期选择服务器租用/托管还是云主机? 云计算 变革 | 云桌面时代降临 云计算之概念和架构 云计算行业分析 云计算的发展到顶峰了吗? 大数据和云计算的发展前景如何判断 【云计算】什么是软件定义数据中心网络架构(SDDCN)? 云服务器主机公网ip和内网ip的区别 一级域名、二级域名、三级域名的区别? 服务器托管要注意什么? 云计算是一个怎样的存在? 什么是云计算? 云计算的基本概念 谈谈云计算 【云计算】什么是Leaf-Spine(fabric)架构? 中小企业如何选择云服务器? 什么是域名? 什么是对象存储?你看过就明白了 服务器托管中常见的机柜类型有哪些? 我使用云服务器建立网站还有必要使用CDN加速吗? 云计算如何帮助企业节省成本 通俗易懂解释什么是云计算 一文读懂什么是融合CDN? 虚拟主机和云服务器有什么区别? 块存储、文件存储、对象存储的区别 CDN和融合CDN 的区别 域名注册要注意些什么? 个人站长怎样选择虚拟主机? 怎么选择云服务器的配置? 谈谈ipv6 租用云服务器的优势有哪些? 购买云服务器要注意几个陷阱 ipv4和ipv6的区别 服务器租用类型的选择 服务器崩溃的原因 服务器虚拟化?有什么优势? 服务器托管到数据中心机房有哪些优势? 云服务器是什么?有什么优势呢? 正确租用服务器的方法 防止服务器数据丢失的方法有哪些? 如何挑选出优质的云服务器运营商? 中小型公司选择云服务器的原因是什么? 服务器租用中CPU的型号是不是越高越好呢? 云计算给我们的生活带来了什么改变? 云服务器的特征有哪些? 关于服务器租用,你是否也有这几个疑问? 租用什么样的高防服务器适合我们的企业? 云主机速度慢竟然是这个原因! 防止服务器数据丢失的方法有哪些? 如何选择服务器租用和服务器托管? 服务器托管和租用区别 数据中心服务器托管怎么选靠谱的IDC服务商? 服务器租用,四大问题不容忽视 什么是服务器?服务器租用思路 IO性能分析 between 云主机 and 虚拟机 经验、技术与开放融合,让老牌CDN重焕青春 网站建设如何选用空间?云虚拟主机和虚拟主机的区别 对象存储 统一云对象存储平台关键技术路线选型对比 行业 | 走出红海困局,融合CDN助力CDN行业优化升级 关于CDN-内容分发网络 怎样选择靠谱的云服务供应商? 服务器托管的五大优势 云服务器的带宽怎么选择? 免备案服务器有什么优势? 两个角度为你解答什么是云服务器? CDN许可证怎么去申请和办理 《CDN系列专题》| 解锁CDN行业的大门,收好这三把秘钥 CDN体系架构及部署方案探索 戏说 - 块存储 文件存储 对象存储 智造“基石”—— 解码工业物联网、大数据与云计算,发力“新基建” 新基建时代下的CDN新主题:视频云/WAF/边缘计算 新基建浪潮下的国内云计算行业 香港服务器可以翻墙吗? CDN--5G时代不容忽视的一环 详解Docker负载均衡和服务发现
图1是对某应用市场的Android App产品中近50款应用定期监控的漏洞统计数据分布。
图1 某应用市场近50款应用漏洞统计数据
一、 敏感信息泄露
敏感信息可分为产品敏感信息和用户敏感信息两类。
泄露后直接对企业安全造成重大损失或有助于帮助攻击者获取企业内部信息,并可能帮助攻击者尝试更多的攻击路径的信息,如登录密码、后台登录及数据库地址、服务器部署的绝对路径、内部IP、地址分配规则、网络拓扑、页面注释信息(开发者姓名或工号、程序源代码)。
用户隐私保护主要考虑直接通过该数据或结合该数据与其他的信息,可以识别出自然人的信息。一旦发生数据泄露事件,可以被恶意人员利用并获取不当利润。
用户敏感信息是例如在App的开发过程中,为了方便调试,通常会使用log函数输出一些关键流程的信息,这些信息中通常会包含敏感内容,如执行流程、明文的用户名密码等,这会让攻击者更加容易地了解App内部结构方便破解和攻击,甚至直接获取到有价值的敏感信息。
所以要在产品的线上版本中关闭调试接口,禁止输出敏感信息。
二、Content Provider的SQL注入
在使用Content Provider时,将组件导出,提供了Query接口。由于Query接口传入的参数直接或间接由接口调用者传入,攻击者构造SQL注入语句,造成信息的泄露甚至是应用私有数据的恶意改写和删除。
解决方案如下。
1.Provider不需要导出,请将export属性设置为False。
2.若导出仅为内部通信使用,则设置protectionLevel=Signature。
3.不直接使用传入的查询语句用于 projection和selection,使用由 Query 绑定的参数selectionArgs。
4.完备的SQL注入语句检测逻辑。
三、 利用可调试的App
说到任意调试漏洞,就要提到AndroidManifest.xml,它是每个Android程序中必需的文件。它位于整个项目的根目录,描述了package中暴露的组件(Activities、Services等)、它们各自的实现类、各种能被处理的数据和启动位置。除了能声明程序中的 Activities、ContentProviders、Services和Intent Receivers,还能指定permissions和instrumentation(安全控制和测试)。
而在AndroidManifest.xml文件中,debuggable属性值被设置为True时(默认为false),该程序可被任意调试,这就产生了任意调试漏洞。
可被动态调试,增加了APK被破解、分析的风险。
目前动态调试器的功能都很强大,如果debuggable属性为True,则可轻易被调试,通常用于重要代码逻辑分析、破解付费功能等。
图2是IDA的调试界面,可以下断点、单步执行,调试过程中可以看到变量内容,即使没有Java代码,反编译后的Smali代码也比较容易阅读,加上动态调试,对App的逆向分析将变得很容易。
图2 IDA调试界面
四、中间人攻击
HTTPS 中间人攻击漏洞的来源有:没有对 SSL 证书进行校验、没有对域名进行校验、证书颁发机构(Certification Authority)被攻击导致私钥泄露等。
实现的X509TrustManager接口的Java代码片段如下。其中的checkServerTrusted()方法实现为空,即不检查服务器是否可信。
五、动态注册广播组件暴露风险
Android可以在配置文件中声明一个Receiver或动态注册一个Receiver来接收广播信息,攻击者假冒App构造广播发送给被攻击的Receiver,是被攻击的App执行某些敏感行为或返回敏感信息等,如果Receiver接收到有害的数据或命令时,可能泄露数据或做一些不当的操作,会造成用户的信息泄露甚至财产损失。
六、WebView密码明文保存漏洞
在使用WebView的过程中忽略了WebView setSavePassword,当用户选择保存在WebView中输入的用户名和密码,则会被明文保存到应用数据目录的databases/webview.db中。如果手机被Root就可以获取明文保存的密码,造成用户的个人敏感数据泄露。
七、加密算法漏洞
以下几种行为会有产生加密算法漏洞的危险。
(1)使用 AES/DES/DESede 加密算法时,如果使用ECB 模式,容易受到攻击风险,造成信息泄露。
(2)代码中生成秘钥时使用明文硬编码,易被轻易破解。
(3)使用不安全的散列算法(MD5/SHA-1)加密信息,易被破解。
(4)生成的随机数具有确定性,存在被破解的风险。
