CISAW风险管理专业级培训课件-客户端安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
敏感信息安全性检测
检测敏感信息(身份证、手机号等)在传输过程中和 显示时是否加密或者使用“*”屏蔽部分位
残余信息保护 会话安全性检测
检测客户端在退出或者卸载后,敏感信息是否全部清 除
检测两台主机在同一时刻可以登录同一账号,并且用 户的标识(SessionID)是否随机唯一。
客户端安全性检测
检测客户端是否可以抗动态调试和逆向分析。
客户端常规安全攻击案例
用户敏 感网银信服息务器
Mail服务器
互联网
查看用户 信息
攻击者
1
2
3
4
网银用户
用户敏 感信息
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
• 用户信息窃取危害
• 通过钓鱼网站,欺骗用户,窃取用户资金。 • 通过社会工程学攻击,可以骗取用户的资金。
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规检测项及攻击案例
要求:客户端常规安全问题。 重点:问题的产生过程,问题引发的风险。
客户端常规安全检测项
检测项 登录安全性检测
检测说明
检测登录密码是否在内存中、在通信过程中、按键记 录方式获取密码明文,并成功登录用户账户。
通信安全性检测
检测客户端与服务器通信时,是否进行安全加密,并 且不易被中间人攻击或者重放攻击
通信安全性检测
检测客户端与服务器通信时,是否进行安全加密,并 且不易被中间人攻击或者重放攻击
敏感信息安全性检测
检测敏感信息(身份证、手机号等)在传输过程中和 显示时是否加密或者使用“*”屏蔽部分位
残余信息保护 会话安全性检测
检测客户端在退出或者卸载后,敏感信息是否全部清 除
检测两台主机在同一时刻可以登录同一账号,并且用 户的标识(SessionID)是否随机唯一。
客户端业务安全检测项
检测项 非法查询其他账户余额安全检测 非法查询其他账户交易信息安全检测 非法查询其他账户敏感信息安全检测 非法挂失其他账户安全检测 网银银行页面篡改检测
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
检测说明 检测是否可以非法查询其他用户余额
检测是否可以非法查询其他用户交易信 息 检测是否可以非法查询其他用户敏感信 息 检测是否可以非法挂失其他用户
进入网银后,点击摸个跳转按钮,是否 可以跳转到非法的页面 通过对收款方信息进行篡改,窃取用户 资金
中国信息安全认证中心 信息安全保障人员认证
客户端组成-保护控件安全性检测项
检测项 键盘输入记录程序防范功能有效性测试
键盘消息挂钩程序保护功能有效性测试
检测说明
该检测项检测保护控件是否可以抗键盘 记录功能
该检测项检测保护控件是否可以抗消息 钩子功能
密码加密功能有效性测试 控件抗动态逆向分析功能有效性测试 控件抗静态逆向分析功能有效性测试 软键盘破解检测
检测密码在内存中是否明文保存,并且 可以抗中间人攻击和重放攻击
该检测项测试密码保护控件能否被调试 工具加载调试。 该检测项检测客户端是否可以被静态分 析工具进行逆向
该检测项检测软键盘是否存在漏洞可以 获取密码明文
中国信息安全认证中心 信息安全保障人员认证
客户端组成-网银助手安全性检测项
检测项 网银助手抗静态分析检测
网银助手抗动态调试检测
网银助手防挂马检测
检测说明
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
实际攻击演示
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端业务安全检测项及攻击 案例
要求:客户端业务安全问题。 重点:客户端常规的问题的产生过程,问题引发的风险。
客户端组成
与服务器交互的业务(认证 机制安全)流程
客户端插 件(如保 护控件等)
网上银行客户端程序
客户端常规安 全
中国信息安全认证中心 信息安全保障人员认证
客户端组成-客户端常规安全检测项
检测项 登录安全性检测
检测说明
检测登录密码是否在内存中、在通信过程中、按键记 录方式获取密码明文,并成功登录用户账户。
第26课 客户端安全
本章主要介绍电子银行客户端的常见问题,和相关攻击演示。
内容提要
客户端的组成
客户端常规检测项及攻击案例
客户端业务安全检测项及攻击案例
保护控件安全检测项及攻击案例
网银助手安全检测项及攻击案例
中国信息安全认证中心 信息安全保障人员认证
客户端组成
要求:理解进行客户端检测的目的。 重点:客户端检测的目的。
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
• 密码窃取
• 黑客通过在网银上挂木马,可以从系统中截获用户输入的密码明 文。
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
来自百度文库
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
该检测项检测网银助手是否有防静态分 析功能,防止黑客使用IDA等静态分析工 具对网银助手进行静态分析,找出网银 助手的编程逻辑。 该检测项检测网银助手是否有防动态调 试功能,防止黑客使用OD、windbg等调 试工具对网银助手进行挂载调试,找出 网银助手漏洞。 该检测项检测网银助手是否能把所下载 控件替换成黑客的木马,达到窃取用户 登录密码和用户资金的目的。
客户端安全性检测
检测客户端是否可以抗动态调试和逆向分析。
中国信息安全认证中心 信息安全保障人员认证
客户端组成-客户端业务安全检测项
检测项 非法查询其他账户余额安全检测 非法查询其他账户交易信息安全检测 非法查询其他账户敏感信息安全检测 非法挂失其他账户安全检测 网银银行页面篡改检测
交易篡改安全性检测
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证
客户端常规安全攻击案例
• 用户信息窃取
• 黑客通过在网银上挂木马,可以截获网银通过SSL发送、接收信 息的明文,从而获取用户的敏感信息。
1
2
3
4
中国信息安全认证中心 信息安全保障人员认证