企業(yè)信息安全邊界防御技術(shù)

1、企業(yè)信息安全邊界防御技術(shù)目錄傳統(tǒng)的企業(yè)安全邊界被忽略的角落-內(nèi)部APP安全現(xiàn)狀內(nèi)部APP安全案例新的邊界風(fēng)險(xiǎn)我們的努力傳統(tǒng)的企業(yè)安全邊界內(nèi)部APP和對(duì)外業(yè)務(wù)APP安全level對(duì)比網(wǎng)絡(luò)傳輸本地存儲(chǔ)邏輯設(shè)計(jì)其他對(duì)外業(yè)務(wù)APP1.https2.數(shù)據(jù)簽名3.報(bào)文加密本用戶的相關(guān)信息無(wú)敏感信息，問(wèn)題少，風(fēng)控給力多種加固方案內(nèi)部APP1.https2.報(bào)文簡(jiǎn)單編碼1.進(jìn)入內(nèi)網(wǎng)的憑證2.本地“代碼”安 全1.越權(quán)，任意登錄 找回密碼等漏洞2.無(wú)風(fēng)控可爆破，無(wú)任何加固方案獲取內(nèi)部APP應(yīng)用市場(chǎng)/主站二級(jí)域名/C段掃描qq群/XX云/搜索引擎社工釣魚等常見漏洞sql注入漏洞越權(quán)/命令執(zhí)行上傳漏洞各種奇妙的邏輯

2、設(shè)計(jì)缺陷攻其不備發(fā)現(xiàn)里邊有私鑰/很重要的配置文件/測(cè)試數(shù)據(jù)每次的通信數(shù)據(jù)中包含固定的用戶認(rèn)證信息調(diào)試?yán)@過(guò)，調(diào)試信息泄露等沙盒繞過(guò)等以國(guó)內(nèi)航空公司為例Question在座的企業(yè)完全掌握自家的資產(chǎn)情況么？?jī)?nèi)部APP全家桶航空案例航空案例航空案例航空案例航空案例航空案例案例（本地存儲(chǔ)）C段獲取內(nèi)部APP證書及部分工程師詳細(xì)信息泄露某些文件包含敏感信息（匿名訪 問(wèn)的地址，部分源碼及mysql密 碼）案例（本地存儲(chǔ)）阿里郎iOS客戶端翻到了兩個(gè)證書 *.p12私鑰證書弱口令123456打開http:/login.alibaba-導(dǎo)入證書信息進(jìn)入內(nèi)網(wǎng)案例（設(shè)計(jì)不當(dāng)）應(yīng)用市場(chǎng)下載內(nèi)部APP尋找用戶名規(guī)則構(gòu)造

3、“正確”的數(shù)據(jù)包，繞過(guò)信息驗(yàn)證，重置任意用戶密碼案例（常規(guī)問(wèn)題）二級(jí)域名下載內(nèi)部APP爆破用戶名和密碼成功獲取所有員工個(gè)人信息（電話，郵箱等詳細(xì)信息）案例（常規(guī)問(wèn)題）AppStore下載APP任意用戶登錄漏洞越權(quán)查看/批復(fù)/轉(zhuǎn)發(fā)辦公文件APP本地?cái)?shù)據(jù)庫(kù)存儲(chǔ)了用戶的詳細(xì)信息（包括OA密碼）新的邊界風(fēng)險(xiǎn)新的邊界風(fēng)險(xiǎn)新的邊界風(fēng)險(xiǎn)目的：理解邊界安全的深度我們的努力平安的盤子有多大員工：130W+以平安開頭的子公司：30+控股公司：我也不是很清楚安全邊界：有點(diǎn)廣銀河實(shí)驗(yàn)室在邊界問(wèn)題上的努力銀河1號(hào)（星云系統(tǒng)）-Nebula銀河2號(hào)（黑洞系統(tǒng)）-BlackHole銀河3號(hào)（人馬系統(tǒng)）-Sagittarius銀河6號(hào)（天樞系統(tǒng)）-dubhe.銀河13號(hào)（大熊系統(tǒng)）-Uma打造安全閉環(huán)漏洞管理系統(tǒng)銀河2號(hào)黑洞系統(tǒng)銀河3號(hào)人馬系統(tǒng)銀河11號(hào)雙魚座銀河13號(hào)大熊系統(tǒng)總結(jié)邊界具有不