前言： 本来是想考PTE的，贫穷限制了我的学习......先简单介绍一下CWASP CSSD： “CWASP CSSP培训认证体系”由中国信息安全测评中心和深圳开源互联网安全技术有限公司联合研发，是国内业界首创的软件安全开发人员专业培训认证体系。“CWASP CSSD（注册软件安全开发 ...

软件安全策略 @author：alkaid 生命以负熵为食 —— 《生命是什么》薛定谔 前文 见 软件安全策略-上 正文 对抗中间人 背景 在前文中提到的三大基石策略——身份认证、访问控制和会话管理，在通信过程都涉及到与远程服务器交换秘密信息，同时在实际的业务 ...

Android安全开发之安全使用HTTPS 1、HTTPS简介 阿里聚安全的应用漏洞扫描器中有证书弱校验、主机名弱校验、webview未校验证书的检测项，这些检测项是针对APP采用HTTPS通信时容易出现风险的地方而设。接下来介绍一下安全使用HTTPS的相关内容。 1.1 为何需 ...

/2018-08-17-SDL-6-Android%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E ...

引言 因为导师的方向有android安全的内容，给我看的论文大多也涉及android安全的内容，而我此前一点基础也没有，看的一脸懵 故随便找书先上手再说 书籍详细内容：android软件安全权威指南 搭建环境 需求：分析APP 主要围绕：android软件开发，android软件逆向 ...

Android安全开发之通用签名风险 作者：伊樵、舟海、呆狐@阿里聚安全 1 通用签名风险简介 1.1 Android应用签名机制 阿里聚安全漏洞扫描器有一项检测服务是检测APP的通用签名风险。Android系统要求安装的应用必须用数字证书进行签名后才能安装，并且签名证书 ...

软件安全策略 @author：alkaid 生命以负熵为食 —— 《生命是什么》薛定谔 背景 我想作为一个信息安全从业者，无论是在渗透测试、代码审计亦或是其他安全服务中都会接触到各种各样的漏洞。把这些漏洞进行简单分类可能能够得到几十类漏洞，当然几乎所有的漏洞类型在common ...

安全设计与开发checklist 检查类型 检查项(checklist) 输入验证 校验跨信任边界传递的不可信数据（策略检查数据合法性，含白名单机制等） 格式化字符串时，依然 ...