資源描述:
《漫談移動銀行-馬傳雷》由會員上傳分享�,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1���、2014/7/7漫談移動銀行安全性Aboutme?flyh4t?PHP安全愛好者?綠盟科技安全技術(shù)部總監(jiān)?六年應(yīng)用安全測試、滲透測試�、安全評估經(jīng)驗?machuanlei@nsfocus.com12014/7/7移動銀行技術(shù)實現(xiàn)移動銀行分類SMS?利用短信辦理業(yè)務(wù)STK?將銀行服務(wù)的菜單寫入特制的STK卡���,為客戶的菜單式操作USSD?USSD是一種基于GSM網(wǎng)絡(luò)的新型交互式數(shù)據(jù)業(yè)務(wù)����,可以用于開發(fā)各種業(yè)務(wù)Kjava?Kjava是專門用于嵌入式設(shè)備的Java應(yīng)用,是Java技術(shù)在無線小終端設(shè)備上的延伸?brew是一種基于CDMA網(wǎng)
2�、絡(luò)的技術(shù)����。用戶可以通過下載應(yīng)用軟件到手機(jī)上運(yùn)行�����,從BREW而實現(xiàn)各種功能WAP?Wap是開發(fā)移動網(wǎng)絡(luò)上類似互聯(lián)網(wǎng)應(yīng)用的一系列規(guī)范的組合APP?app?微信/易信22014/7/7移動銀行開發(fā)商開發(fā)商融易通聯(lián)龍博通中科金財恒生電子上海屹通科藍(lán)軟件銀行自主開發(fā)……移動銀行和網(wǎng)銀的關(guān)系32014/7/7網(wǎng)絡(luò)拓?fù)鋱D移動銀行系統(tǒng)結(jié)構(gòu)42014/7/7二次加密技術(shù)方案業(yè)務(wù)處理52014/7/7移動銀行面臨的安全問題移動銀行面臨的安全問題移動銀行安全合規(guī)安全實現(xiàn)基礎(chǔ)環(huán)境策略性客戶技術(shù)重打業(yè)務(wù)管理端/服邏輯木馬釣魚企業(yè)架構(gòu)包攻行業(yè)安全流程務(wù)
3、端漏洞病毒攻擊內(nèi)部缺陷擊漏洞62014/7/7移動銀行面臨的安全問題?安全策略業(yè)務(wù)安全策略72014/7/7補(bǔ)卡攻擊短信網(wǎng)關(guān)黑客移動銀行服務(wù)端后臺服務(wù)器合法用戶管理流程82014/7/7Debug接口未關(guān)閉Debug接口未關(guān)閉92014/7/7移動銀行面臨的安全問題?安全實現(xiàn)技術(shù)架構(gòu)設(shè)計缺陷102014/7/7越權(quán)查詢漏洞黑客移動銀行服務(wù)端后臺服務(wù)器登錄系統(tǒng)查詢卡號信息查詢其他用戶卡號信息短信驗證碼泄漏漏洞黑客移動銀行服務(wù)端后臺服務(wù)器短信網(wǎng)關(guān)合法用戶112014/7/7短信驗證碼暴力破解客戶端漏洞:未驗證ssl證書12201
4����、4/7/7客戶端漏洞:未驗證ssl證書服務(wù)端漏洞132014/7/7服務(wù)端漏洞服務(wù)端漏洞142014/7/7業(yè)務(wù)邏輯漏洞移動銀行面臨的安全問題?基礎(chǔ)環(huán)境152014/7/7基礎(chǔ)環(huán)境漏洞底層安全機(jī)制較弱162014/7/7病毒木馬?2013年全年����,截獲手機(jī)病毒總量超過79萬個����,其中截獲Android平臺病毒包達(dá)到76萬個�����;?與2012年相比,2013年截獲的病毒包總數(shù)是2012的4.47倍��,手機(jī)病毒呈現(xiàn)瘋狂增長態(tài)勢����。?從2012年到2013年���,是截至目前手機(jī)染毒用戶數(shù)激增暴漲的2年��。2012年1月~2013年12月�,手機(jī)染毒總
5、用戶數(shù)突破1.4億��,接近俄羅斯總?cè)丝凇?����;移動手機(jī)病毒及惡意攻擊172014/7/7媒體報道病毒木馬182014/7/7重打包攻擊釣魚攻擊192014/7/7一種新的黑色產(chǎn)業(yè)鏈App加固保護(hù)移動銀行App啟動正常的虛擬機(jī)啟動保護(hù)代碼啟動自我修改代碼反調(diào)式保護(hù)啟完整性檢查啟修改虛擬機(jī)動動修改后的虛擬檢查機(jī)載入和運(yùn)行加失敗密的代碼中止程序(可為服執(zhí)行業(yè)務(wù)功能務(wù)器報警)202014/7/7AndroidAPP加固保護(hù)騰360娜梆愛通訊迦梆加付密盾某大行APP破解案例212014/7/7某大行APP破解案例還可以怎么破222014/7
6����、/7微信銀行安全性移動銀行面臨的安全問題?合規(guī)性232014/7/7合規(guī)性?內(nèi)部的監(jiān)管?外部的監(jiān)管–人行–銀監(jiān)綠盟科技移動銀行安全解決方案?NSFocusMB-SDLC242014/7/7SDLC需求階段安全目標(biāo)識別安全需求分析安全需求報告架構(gòu)設(shè)計階段安全設(shè)計原則威脅建模安全方案設(shè)計功能實現(xiàn)階段安全編碼安全測試運(yùn)維階段安全保障應(yīng)急響應(yīng)修復(fù)安全漏洞所需要的成本35倍30倍25倍20倍15倍10倍5倍0倍需求/架構(gòu)編碼集成/組件測試系統(tǒng)/驗收測試發(fā)布252014/7/7安全需求監(jiān)管要求業(yè)務(wù)需求安全實踐安全目標(biāo)和需求移動應(yīng)用安全控
7、制模型262014/7/7輸出物:安全架構(gòu)和設(shè)計輸出物:安全功能設(shè)計272014/7/7編碼規(guī)范和代碼審計報告測試規(guī)范和測試報告282014/7/7運(yùn)維監(jiān)控總結(jié)服務(wù)客戶端安全培訓(xùn)?架構(gòu)咨詢?安全監(jiān)控?安全意識?代碼審計?app保護(hù)?技術(shù)能力?安全測試?安全評估?應(yīng)急響應(yīng)292014/7/7乙方工程師那點(diǎn)事向堅守在乙方的安全工程師致敬我們的幸福不是來自于掌握高精尖的技術(shù),而是來自于通過自己的努力解決他人的痛苦��。302014/7/731
