前言： 本來是想考PTE的，貧窮限制了我的學習......先簡單介紹一下CWASP CSSD： “CWASP CSSP培訓認證體系”由中國信息安全測評中心和深圳開源互聯網安全技術有限公司聯合研發，是國內業界首創的軟件安全開發人員專業培訓認證體系。“CWASP CSSD（注冊軟件安全開發 ...

軟件安全策略 @author：alkaid 生命以負熵為食 —— 《生命是什么》薛定諤 前文 見 軟件安全策略-上 正文 對抗中間人 背景 在前文中提到的三大基石策略——身份認證、訪問控制和會話管理，在通信過程都涉及到與遠程服務器交換秘密信息，同時在實際的業務 ...

Android安全開發之安全使用HTTPS 1、HTTPS簡介 阿里聚安全的應用漏洞掃描器中有證書弱校驗、主機名弱校驗、webview未校驗證書的檢測項，這些檢測項是針對APP采用HTTPS通信時容易出現風險的地方而設。接下來介紹一下安全使用HTTPS的相關內容。 1.1 為何需 ...

/2018-08-17-SDL-6-Android%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E ...

引言 因為導師的方向有android安全的內容，給我看的論文大多也涉及android安全的內容，而我此前一點基礎也沒有，看的一臉懵 故隨便找書先上手再說 書籍詳細內容：android軟件安全權威指南 搭建環境 需求：分析APP 主要圍繞：android軟件開發，android軟件逆向 ...

Android安全開發之通用簽名風險 作者：伊樵、舟海、呆狐@阿里聚安全 1 通用簽名風險簡介 1.1 Android應用簽名機制 阿里聚安全漏洞掃描器有一項檢測服務是檢測APP的通用簽名風險。Android系統要求安裝的應用必須用數字證書進行簽名后才能安裝，並且簽名證書 ...

軟件安全策略 @author：alkaid 生命以負熵為食 —— 《生命是什么》薛定諤 背景 我想作為一個信息安全從業者，無論是在滲透測試、代碼審計亦或是其他安全服務中都會接觸到各種各樣的漏洞。把這些漏洞進行簡單分類可能能夠得到幾十類漏洞，當然幾乎所有的漏洞類型在common ...

安全設計與開發checklist 檢查類型 檢查項(checklist) 輸入驗證 校驗跨信任邊界傳遞的不可信數據（策略檢查數據合法性，含白名單機制等） 格式化字符串時，依然 ...