资料列表
Preview Name 作者 Date File info
刘志乐@安恒 2016-06-17 14:27:24
  • 附件: 1 个
  • 大小: 1.3 M
  • 移动应用,安全为先
  • 大纲

    • ● 移动应用的趋势与威胁
    • ● 移动应用 – Three Layers
    • ● 移动应用安全解决思路
    • ● 惠普移动应用安全解决方案
    • ● HP Fortify SCA
    • ● HP WebInspect
    • ● 惠普移动应用安全解决方案视频
姚翔@惠普安全 2016-06-17 13:56:46
  • 附件: 1 个
  • 大小: 1.84 M
  • OWASP 应用程序安全设计项目
  • 目录

    • 1 简介 3
    • 2 了解设计 3
      • 21 什么是应用程序设计?3
      • 22 为什么需要设计审核?3
    • 3 设计审核方法 4
      • 31 设计文档收集4
      • 32 设计调研4
      • 33 设计分析5
      • 34 提出安全需求6
      • 35 推荐设计变更6
      • 36 团队讨论7
      • 37 设计完成7
    • 附件 1 应用程序安全设计清单 8
2016-06-17 13:13:29
  • 附件: 1 个
  • 大小: 0.34 M
  • Web应用面临的IT安全风险与危机
  • 目录

    • 背景
      • 1、Web的作用
      • 2、Web安全的意义
      • 3、Web安全的现状
    • 威胁

      • 1、Web常用的攻击方式
      • 2、OWASP Top 10
    • 防护

      • 1、常见的防护方法
      • 2、Web应用防火墙
      • 3、运行时应用自我防护
孙政豪 2016-04-11 16:24:32
  • 附件: 1 个
  • 大小: 1.45 M
  • OWASP安全编码规范快速参考指南
  • 本项与技术无关的文档以清单列表的形式,定义了一套可以集成到软件开发生命周期中的通用软件安全编码规范。采用这些规范将减少最为常见的软件漏洞。

    一般来说,开发安全的软件要比在软件包完成以后再纠正安全问题的成本低很多,且还没涉及到因为安全问题而造成的损失。 保护关键软件资源的安全性,比以往任何时候都更为重要,因为攻击者的重点已逐步转向了应用层。2009年SANS的一项研究1表明,针对Web应用程序的攻击已占据了在互联网上观察到攻击总数的60%以上。

    在使用本指南时,开发团队应该从评估他们的安全软件开发生命周期成熟度和开发人员知识水平着手。由于本指南不涉及如何实现每个编码规范的具体细节,因此,开发人员需要了解相关知识,或者有足够可用资源来提供必要的指导。通过本指南,开发人员可在无需深入了解安全漏洞和攻击的情况下,将编码规范转换成编码要求。当然,开发团队的其他成员应该有责任,通过提供适当的培训、工具和资源,以验证整个系统的设计和开发是安全的。

    • 目录
    • 序言 3
    • 软件安全与风险原则概览 4
      • 输入验证: 5
      • 输出编码: 5
      • 身份验证和密码管理: 6
      • 会话管理: 7
      • 访问控制: 7
      • 加密规范: 8
      • 错误处理和日志: 8
      • 数据保护: 9
      • 通讯安全: 10
      • 系统配置: 10
      • 数据库安全: 10
      • 文件管理: 11
      • 内存管理: 11
      • 通用编码规范: 12
    • 附录A: 13
      • 外部的参考资料: 13
    • 附录B: 术语表 14
OWASP 2016-03-23 05:08:10
  • 附件: 2 个
  • 大小: 0.74 M
  • Guide to Securing Legacy IEEE 802.11 Wireless Networks
  • Organizations should create a wireless networking security policy that addresses legacy IEEE 802.11 WLAN security.

    A wireless networking security policy and an organization’s ability to enforce compliance with it are the foundations for all other security countermeasures. Policy considerations should include the following:

    • Roles and responsibilities, such as which parties are authorized and responsible for installing and configuring WLAN equipment
    • WLAN infrastructure security, including physical security requirements, acceptable use guidelines, and requirements for the use of encryption and for cryptographic key management
    • WLAN client device security, such as hardware and software configuration requirements, limitations on how and when WLAN client devices may be used, and guidelines for the protection of WLAN client devices
    • WLAN security assessments, particularly the frequency and scope of assessments and the actions to be taken when rogue or misconfigured devices are identified.
NIST 2016-03-17 03:37:51
  • 附件: 1 个
  • 大小: 1.04 M
  • OWASP TOP 10(2010中文)
  • 互联网应用程序所受到的威胁随着攻击者和新技术的提升以及日益复杂的系统在不断改变。为了跟随前进的步伐, 我们周期性地更新OWASP Top 10。在本次2010年版本中,我们做了以下三点重大改变:

    1) 我们明确说明这些Top 10是指十大风险,而不是十大常见漏洞。 详情请见下文的“应用程序安全风险”。 2) 我们改变了风险等级的评估方法,去取代仅依靠关联漏洞频率的办法。该新评估方法决定了如下表所示的Top 10排序。 3) 我们更新了列表中的其中两项:

    • 增加:A6-安全配置错误。这是2004年版本Top 10中的A10:不安全配置管理,由于不再被视为软件问题,因此 在2007年版本中被删除。但是,从一个企业组织风险和普遍性的角度考虑,它显然值得被重新列入Top 10。

    • 增加:A10-尚未验证的重定向和转发。这一问题是第一次被列入Top 10。有证据表明这个相对未知的问题已经广 泛存在并可以产生严重的破坏。

    • 删除:A3-恶意文件执行。这个问题在很多环境中仍然是一个严重的问题。但是,其在2007年版本中提出的普遍 性由大量PHP应用程序问题而导致的。PHP现在已经采用了更多默认的安全配置,从而降低了这个问题的严重程度。

    • 删除:A6-信息泄露和不恰当的错误处理。这个问题十分普遍,但是泄露堆栈跟踪和错误信息的影响通常很小。 在今年的版本中增加了错误的安全配置,恰当的错误处理配置已成为应用程序和服务器安全配置的一个重要部分。

OWASP 2016-03-13 13:40:51
  • 附件: 1 个
  • 大小: 2.11 M
  • Security Checking Android Apps with Silicon
  • Problem Architecture Detailed Design Test Data

    • AST Generation
    • Kagebunsin
    • Operator
    • Predicate
    • Symbolic Executor
    • Theorem Prover

    SWAP MAP

    由于AST过大,所以在符号执行的过程中会在内存中占用越来越多的内存,但是很多AST只会被用一次,所以可以使用类似操作系统中的方法——将不用的数据结构Swap out到磁盘上,如果下次仍然需要则再Swap in到内存即可。优化效果十分明显。

    Kagebunsin

    分身( Kagebunsin )是基本的符号执行单位,本质上是一个大的循环,循环中对方法内的指令进行符号执行。

    遇到分支进行定理证明,如果两条路径都能够执行则自己执行一个路径并启动另一个分身去执行另一个可执行的路径。

Dr. Hua 2016-03-09 14:30:06
  • 附件: 1 个
  • 大小: 0.73 M
  • Pervasive smart devices
    • Some common themes underlying all of the above
    • Point out some differences between CES and product
    • Focus on ideas leading to the prototype
    • Some fun “behind-the scenes” look

    Smallest computer with this much capability!

    • Plug-unpluggable standard
    • Tiny form factor and power
    • Integrate CPU and MCU
    • Diverse Apps made easy
    • Diverse device skins made easy
    • Network effect makes it stick
Dr. Gao 2016-03-09 14:22:57
  • 附件: 1 个
  • 大小: 1.74 M
  • 操作系统内核验证的研究进展
  • 内核安全与内核验证

    研究背景

    应用程序的可利用漏洞

    • 研究众多,关注程度高
    • 静态分析
    • 动态分析
    • 实时监控

    内核级的Rootkit防御

    • 研究较少
    • 质量参差不齐的驱动, 恶意代码注入
    • 防御方案实施困难

    内核的形式化验证

    模型检查

    • 建立内核的抽象模型
    • 给出内核的行为规范
    • 采用工具进行全自动化地检查

    基于定理证明的程序验证

    • 用逻辑公式定义内核编程语言的语义
    • 用逻辑公式定义内核的行为规范
    • 采用工具进行半自动地证明

    内核的证明

Prof. Guo 2016-03-09 14:16:35
  • 附件: 1 个
  • 大小: 1.19 M