资料列表
Preview Name 作者 Date File info
  • 软件企业的安全之道
  • 越来越多的软件企业已经意识到安全的重要性,但由于缺乏安全方面的知识和资源,软件安全的落地仍困难重重。本议题从一些容易实现的安全措施的入手,讲解如何在一个软件企业中实施一个安全项目来提高软件的安全质量。

    • Vulnerabilities
    • Adhoc solution
    • Cost to fix these issues
    • RnD’s voice to security
    • RnD’s impression to security guys
    • RnD’s expectation to security guys
    • Security guys’ challenge
    • Security as a quick start

        1. Create security bug type
        1. Security user story
        1. Security dashboard
    • So evolve

    • Security awareness training
    • Security release criteria
    • Threat modeling and security design review
    • Security assessment
    • Risk response
    • Apply what you learnt today
    • To be continued
王文君
  • 附件: 1 个
  • 大小: 0.82 M
张璇
  • 附件: 1 个
  • 大小: 2.52 M
陈良
  • 附件: 1 个
  • 大小: 1.3 M
许文奇@阿里巴巴
  • 附件: 1 个
  • 大小: 3.89 M
残废@四叶草安全
  • 附件: 1 个
  • 大小: 1.23 M
xi4oyu@百度
  • 附件: 1 个
  • 大小: 0.47 M
  • 基于业务场景的安全测试
    • 介绍
    • 企业级安全测试进化史

    • 漏洞类型vs业务场景

    • 基于漏洞类型的安全测试
    • 基于业务场景的安全测试
    • 业务场景测试流程

        1. 业务流程梳理及业务风险梳理
        1. 根据业务流程划分若干业务场景
        1. 确定重点业务场景及业务风险点
        1. 基于业务场景,流程,业务风险点执行安全测试
    • 业务场景测试要点

    • 从银行、金融、保险、证券到电商、O2O、游戏、社交、航空等 行业,业务操作越权无处不在。

    • 业务场景测试重点关注对象。
    • 原因都是服务端以客户端传入的参数为依据,没有对session或 会话权限做严格判断造成的。
    • 测试方向:平行权限、垂直权限 部分应用过分依赖数字签名,服务端忽略了对会话权限做判断
曾裕智@FreeBuf & 漏洞盒子
  • 附件: 1 个
  • 大小: 2.21 M
  • 北人南观:攻击矩阵中的数据纽带
    • 南人怎么看技术
    • 老生常谈
    • 大数据•(业务,威胁,安全)
    • 大数据安全九宫图
    • 威胁用例、威胁场景
    • 攻击假设矩阵,一个简单的工具
    • 矩阵
    • 攻击假设矩阵 @ 网络拓扑,简单示例
    • 攻击假设矩阵 @ 时间,简单示例
    • 数据资产:一种新型资产的认识
    • “云物移社大智随”的影响
    • 五际缘的弈局
    • CPS-Cyber Physical System 信息物理系统
    • 意识-信息-物理系统/空间
    • 从MCPs攻击假设矩阵 看“大数据攻击”
    • 从MCPs攻击假设矩阵 看“大数据攻击”
    • 威胁用例、威胁场景
潘柱廷@启明星辰公司
  • 附件: 1 个
  • 大小: 1.98 M
  • 说说口令安全这件事
    • Life Cycle of Passwords
    • Password Guessing
    • Graphic Passwords
    • Password Manager
    • Password Meter
    • Properties of Chinese Passwords
韩伟力
  • 附件: 1 个
  • 大小: 1.95 M
段海新@清华大学
  • 附件: 1 个
  • 大小: 4.04 M