梆梆安全產(chǎn)品調(diào)研.ppt

梆梆安全系列項(xiàng)目介紹 目錄 梆天系列安全加固及數(shù)據(jù)加密產(chǎn)品與服務(wù)梆地系列安全感知產(chǎn)品與服務(wù)梆山系列安全檢測(cè)產(chǎn)品與服務(wù)梆水系列安全咨詢及大數(shù)據(jù)產(chǎn)品與服務(wù) 梆天系列 移動(dòng)應(yīng)用安全加固移動(dòng)應(yīng)用源代碼加固安全密匙白盒安全軟鍵盤(pán)SDK防劫持界面SDK短信保護(hù)SDK反外掛SDK清場(chǎng)SDK通訊協(xié)議加密SDK 移動(dòng)應(yīng)用安全加固 介紹 針對(duì)目前移動(dòng)應(yīng)用普遍存在的破解 篡改 盜版 釣魚(yú)欺詐 內(nèi)存調(diào)試 數(shù)據(jù)竊取等各類(lèi)安全風(fēng)險(xiǎn) 梆梆安全為開(kāi)發(fā)者提供全面的移動(dòng)應(yīng)用加固加密技術(shù)和攻擊防范服務(wù) 核心加固技術(shù) 防逆向 Anti RE 抽取classes dex中的所有代碼 剝離敏感函數(shù)功能 混淆關(guān)鍵邏輯代碼 整體文件深度加密加殼 防止通過(guò)apktool dex2jar jeb等靜態(tài)工具來(lái)查看應(yīng)用的java層代碼 防止通過(guò)ida readelf等工具對(duì)so里面的邏輯進(jìn)行分析 保護(hù)native代碼 移動(dòng)應(yīng)用安全加固 防篡改 Anti tamper 每個(gè)代碼文件 資源文件 配置文件都會(huì)分配唯一識(shí)別指紋 替換任何一個(gè)文件 將會(huì)導(dǎo)致應(yīng)用無(wú)法運(yùn)行 存檔替換 病毒廣告植入 內(nèi)購(gòu)破解 功能屏蔽等惡意行為將無(wú)法實(shí)施 防調(diào)試 Anti debug 多重加密技術(shù)防止代碼注入 徹底屏蔽游戲外掛 應(yīng)用輔助工具 避免釣魚(yú)攻擊 交易劫持 數(shù)據(jù)修改等調(diào)試行為 防竊取 StorageEncryption 支持存儲(chǔ)數(shù)據(jù)加密 提供輸入鍵盤(pán)保護(hù) 通訊協(xié)議加密 內(nèi)存數(shù)據(jù)變換 異常進(jìn)程動(dòng)態(tài)跟蹤等安防技術(shù) 有效防止針對(duì)應(yīng)用動(dòng) 靜態(tài)數(shù)據(jù)的捕獲 劫持和篡改 移動(dòng)應(yīng)用源代碼加固 介紹 未經(jīng)混淆的C C Objective C Android的JNI工程 iOS的XCode工程等 很容易被逆向分析或動(dòng)態(tài)調(diào)試 從而暴露程序中關(guān)鍵算法 核心業(yè)務(wù)邏輯 數(shù)據(jù)結(jié)構(gòu)和模塊的控制流布局等敏感內(nèi)容 造成開(kāi)發(fā)者知識(shí)產(chǎn)權(quán)泄露和經(jīng)濟(jì)利益損失 移動(dòng)應(yīng)用源代碼加固 主要功能 控制流平坦化 在保證不改變?cè)创a功能的前提下 將C C Objective C等語(yǔ)言中的if while for do等控制語(yǔ)句轉(zhuǎn)化為switch分支選擇語(yǔ)句 插入各種花指令 插入各種不會(huì)被執(zhí)行的無(wú)效字節(jié)碼到源碼文件中 使逆向分析工具字節(jié)碼解析時(shí)崩潰 控制流變換 跳轉(zhuǎn)控制條件和分支語(yǔ)句 在保持原程序邏輯關(guān)系的前提下 隨機(jī)確定控制塊的執(zhí)行順序 達(dá)到模糊程序控制邏輯 隱藏程序控制流的目的 代碼完整性校驗(yàn) 在混淆源碼時(shí)植入check因子 在程序執(zhí)行時(shí)校驗(yàn)同因子映射對(duì)應(yīng)的代碼 保證其完整性 源對(duì)源混淆 自主研發(fā)高強(qiáng)度混淆技術(shù) 代碼混淆結(jié)果立即可看 不用擔(dān)心使用網(wǎng)上開(kāi)源工具不清楚混淆結(jié)果是否有效 安全密鑰白盒 介紹 目前使用的基于Key的AES DES SM4等傳統(tǒng)加密算法已不再安全 攻擊者通過(guò)控制軟件的運(yùn)行環(huán)境 如CPU 內(nèi)存 寄存器等 實(shí)現(xiàn)對(duì)密鑰的白盒攻擊 破解 密匙面臨的風(fēng)險(xiǎn) 安全密鑰白盒 加密技術(shù) Lookuptable轉(zhuǎn)換 將密鑰轉(zhuǎn)換為大量的Lookuptable 構(gòu)造復(fù)雜龐大的結(jié)構(gòu)化查找表系統(tǒng) 隨機(jī)雙射編碼 應(yīng)用隨機(jī)化 非線性化操作 對(duì)查找表進(jìn)行隨機(jī)雙射編碼 隱藏相關(guān)內(nèi)容 算法邊界擴(kuò)展 將加密算法邊界由算法本身擴(kuò)展到整個(gè)程序 實(shí)現(xiàn)對(duì)密鑰的隱藏 內(nèi)外混編 采用外部編碼加內(nèi)部編碼混合方式 對(duì)查找表進(jìn)行隱藏 混淆和擴(kuò)散 多層防護(hù)措施 采用多種安全技術(shù)集成 增強(qiáng)對(duì)密鑰白盒環(huán)境下非法調(diào)用 注入 內(nèi)存修改的防護(hù) 防界面劫持SDK 介紹 利用仿冒的界面覆蓋 替換App原界面來(lái)進(jìn)行釣魚(yú)欺詐 正在成為一種流行的App惡意攻擊方式 即界面劫持性攻擊App界面風(fēng)險(xiǎn) 在登錄或使用交易類(lèi)App 特別是金融客戶端時(shí) 界面劫持性攻擊會(huì)讓用戶在毫無(wú)察覺(jué)的情況下 將個(gè)人賬號(hào) 密碼 銀行卡號(hào) 手機(jī)號(hào)碼 身份證號(hào)碼等敏感信息提供給攻擊者 而用戶仍然以為他們?cè)谡５腁pp系統(tǒng)上操作 許多釣魚(yú)惡意程序通過(guò)這種 界面劫持 的攻擊方式從而導(dǎo)致敏感信息失竊 對(duì)銀行 電商 互聯(lián)網(wǎng)金融 證券 基金 保險(xiǎn) 游戲等交易類(lèi)App進(jìn)行攻擊 防界面劫持SDK 主要防止竊取以下數(shù)據(jù) 用戶賬號(hào) 登錄密碼 信用卡號(hào) 銀行卡號(hào) 身份證號(hào)碼 手機(jī)號(hào)碼 郵箱地址 短信驗(yàn)證碼 家庭成員信息 家庭住址信息 商業(yè)機(jī)密信息 公司地址信息 防界面劫持SDK App界面劫持的主要攻擊原理 捕獲當(dāng)前運(yùn)行進(jìn)程 循環(huán)匹配目標(biāo) 監(jiān)聽(tīng)系統(tǒng)logcat日志 分析界面切換邊界 監(jiān)聽(tīng)系統(tǒng)API 匹配目標(biāo)行為 屏蔽 覆蓋App界面 以仿冒界面取代App原生界面 輸入數(shù)據(jù)記錄 發(fā)送 轉(zhuǎn)移 用戶數(shù)據(jù)破解 詐騙 販賣(mài) 防界面劫持SDK 防界面劫持SDK 根據(jù)App當(dāng)前界面視圖焦點(diǎn)的變化 捕獲當(dāng)前惡意程序的攻擊行為 進(jìn)行分析 攔截 提示等安全管理 能有效幫助各類(lèi)移動(dòng)App降低敏感信息被竊取風(fēng)險(xiǎn) 主要功能特點(diǎn) Activity覆蓋實(shí)時(shí)監(jiān)測(cè)攔截 Windows覆蓋實(shí)時(shí)監(jiān)測(cè)攔截 鍵盤(pán)行為監(jiān)測(cè)及數(shù)據(jù)分析 仿冒界面風(fēng)險(xiǎn)提示 防誤判白名單機(jī)制 短信保護(hù)SDK 介紹 防止短信驗(yàn)證碼被竊取 保護(hù) 賬號(hào)密碼 短信驗(yàn)證碼 的雙因子身份安全認(rèn)證體系短信驗(yàn)證碼劫持 手機(jī)短信驗(yàn)證碼作為當(dāng)前主流的網(wǎng)絡(luò)身份驗(yàn)證和支付授權(quán)機(jī)制 存在重大安全風(fēng)險(xiǎn) 針對(duì)短信驗(yàn)證碼的劫持攻擊日益猖獗 而為了對(duì)明文存儲(chǔ)的短信驗(yàn)證碼進(jìn)行劫持 黑客們會(huì)通過(guò)各種方式感染用戶的移動(dòng)設(shè)備 短信號(hào)碼攔截漏洞 可使惡意軟件繞過(guò)短信權(quán)限控制 通過(guò)公共WIFI USB調(diào)試模式 WebView遠(yuǎn)程命令植入木馬 通過(guò)下載被入侵的App感染木馬 通過(guò)二維碼 短信鏈接 微信鏈接等感染木馬 短信保護(hù)SDK 短信保護(hù)SDK 用戶完全沒(méi)有辦法防止這各種各樣的木馬入侵方式 想要從根本上解決安全問(wèn)題 只有解決短信驗(yàn)證碼的明文傳輸 才能有效的保護(hù)雙因子驗(yàn)證體系 梆梆安全短信保護(hù)SDK 對(duì)短信驗(yàn)證碼進(jìn)行加密 解密處理 保護(hù)短信從服務(wù)端 客戶端之間流轉(zhuǎn)的安全性 短信保護(hù)SDK 主要功能特點(diǎn) 驗(yàn)證碼短信內(nèi)容加密 密鑰高強(qiáng)度多重保護(hù) 云端加密 本地運(yùn)行解密 不會(huì)泄露驗(yàn)證碼 手機(jī)丟失后短信驗(yàn)證碼安全防護(hù) 可集成App加固服務(wù) 強(qiáng)化 賬號(hào)密碼 短信驗(yàn)證 的雙因子驗(yàn)證機(jī)制安全 用戶交互 體驗(yàn)好 App開(kāi)發(fā)者集成簡(jiǎn)便 反外掛SDK 介紹 倡導(dǎo)公平 公正的游戲環(huán)境 保護(hù)開(kāi)發(fā)者收益和游戲平衡性反外掛SDK 梆梆安全反外掛SDK 首創(chuàng)自主行為分析外掛檢測(cè)引擎 集合應(yīng)用加固等其他安全措施 可以有效解決游戲App面臨的各類(lèi)外掛工具威脅 反外掛SDK 主要功能特點(diǎn) 基于 特征值 的一對(duì)多外掛識(shí)別 基于 相似性學(xué)習(xí) 的自主式外掛分析 集成App加固服務(wù) 可以防動(dòng)態(tài)注入 防Hook調(diào)試 防反編譯客戶端 防篡改腳本文件 防自動(dòng)化腳本 防檢測(cè)繞過(guò)等 安全數(shù)據(jù)云更新 實(shí)時(shí)提高檢測(cè)能力 支持Cocos2D Cocos3D Unity3D Appcelerator Phonegap等游戲引擎和框架 清場(chǎng)SDK 清場(chǎng)SDK主要功能 為了保護(hù)移動(dòng)客戶端的運(yùn)行環(huán)境安全 梆梆安全為開(kāi)發(fā)者提供了App運(yùn)行環(huán)境清場(chǎng)SDK 實(shí)現(xiàn)對(duì)病毒 木馬 惡意應(yīng)用的實(shí)施攔截和控制 設(shè)備環(huán)境安全性檢測(cè) 對(duì)設(shè)備的Root 越獄行為進(jìn)行偵測(cè) 對(duì)已經(jīng)Root 越獄的設(shè)備提高風(fēng)險(xiǎn)監(jiān)測(cè)級(jí)別 啟發(fā)式病毒查殺引擎 由梆梆安全自主研發(fā)的智能學(xué)習(xí)性高強(qiáng)度實(shí)時(shí)病毒查殺引擎 智能提取惡意特征碼 云端數(shù)據(jù)共享 云查殺 依托啟發(fā)式特征學(xué)習(xí) 提取 同步技術(shù) 實(shí)時(shí)豐富云端惡意特征庫(kù) 對(duì)各類(lèi)變種 新型及未知病毒軟件進(jìn)行云查殺 國(guó)際聯(lián)合查殺 集成國(guó)內(nèi)外眾多知名病毒查殺引擎 通過(guò)病毒庫(kù)的互補(bǔ) 實(shí)現(xiàn)無(wú)漏查殺 通訊協(xié)議加密SDK 介紹 為開(kāi)發(fā)者提供簡(jiǎn)易 快速 全面的通訊協(xié)議保護(hù)方案 保護(hù)App與服務(wù)器間的通訊安全通訊協(xié)議加密SDK功能特點(diǎn) 為開(kāi)發(fā)者及用戶提供了高強(qiáng)度的通訊協(xié)議加密保護(hù)功能 開(kāi)發(fā)者可以獲取SDK簡(jiǎn)便的集成到自己的App當(dāng)中 避免針對(duì)通訊協(xié)議的各種攻擊 通訊協(xié)議加密SDK 主要功能特點(diǎn) 高安全性 通過(guò)對(duì)設(shè)備指紋 時(shí)間戳信息 身份驗(yàn)證 消息完整性等多種維度的安全性校驗(yàn) 保證數(shù)據(jù)傳輸?shù)奈ㄒ恍院桶踩?動(dòng)態(tài)密鑰 采用多層密鑰加密傳輸 密鑰之間動(dòng)態(tài)切換 提供了更加安全的保證 高強(qiáng)度混淆 對(duì)代碼進(jìn)行高強(qiáng)度混淆 同時(shí)提供防調(diào)試 防Hook 防Dump等多種安全機(jī)制 SO文件加殼 對(duì)核心的so文件進(jìn)行深度加密處理 防止對(duì)so文件的破解 密鑰白盒加密 通過(guò)白盒加密技術(shù)對(duì)密鑰進(jìn)行安全性保護(hù) 防止密鑰的泄漏和破解 通訊協(xié)議加密SDK 優(yōu)勢(shì)價(jià)值 集成簡(jiǎn)便 防止針對(duì)協(xié)議的攻擊 防止中間人攻擊 保護(hù)密鑰安全 保護(hù)核心業(yè)務(wù)邏輯和接口安全 防止刷票 刷量 用戶體驗(yàn)無(wú)影響 梆地系列 釣魚(yú)監(jiān)測(cè)及響應(yīng)漏洞監(jiān)測(cè)及響應(yīng)移動(dòng)威脅感知服務(wù)業(yè)務(wù)流審計(jì)系統(tǒng) 釣魚(yú)監(jiān)測(cè)及響應(yīng) 介紹 全網(wǎng)渠道覆蓋 智能化數(shù)據(jù)監(jiān)測(cè)與分析 幫助企業(yè)及時(shí)了解各類(lèi)新增釣魚(yú) 盜版應(yīng)用情況主要功能 渠道監(jiān)測(cè) 遍布全球的渠道監(jiān)測(cè)節(jié)點(diǎn) 實(shí)時(shí)抓取個(gè)應(yīng)用市場(chǎng) 商店 網(wǎng)站 論壇等渠道上新增的應(yīng)用信息 為釣魚(yú) 盜版監(jiān)測(cè)提供大數(shù)據(jù)樣本 釣魚(yú)識(shí)別 利用獨(dú)有的App指紋識(shí)別 相似度分析 可疑度分析等應(yīng)用特征識(shí)別技術(shù) 精準(zhǔn)識(shí)別釣魚(yú) 盜版應(yīng)用 風(fēng)險(xiǎn)分析 通過(guò)深層次靜態(tài) 動(dòng)態(tài)分析 提供包括盜版作者 來(lái)源 下載量 篡改內(nèi)容等多維度釣魚(yú)應(yīng)用風(fēng)險(xiǎn)分析數(shù)據(jù)和報(bào)告 侵權(quán)下架 同各渠道建立緊密合作 針對(duì)在各市場(chǎng)上發(fā)布的侵權(quán)類(lèi)釣魚(yú) 盜版應(yīng)用 提供快速侵權(quán)確認(rèn) 盜版下架服務(wù) 釣魚(yú)監(jiān)測(cè)及響應(yīng) 價(jià)值 幫助開(kāi)發(fā)者監(jiān)測(cè)全網(wǎng)路渠道 多維度App數(shù)據(jù)跟蹤 分析 風(fēng)險(xiǎn)分析及預(yù)警服務(wù) 釣魚(yú) 盜版應(yīng)用快速下架 釣魚(yú) 盜版應(yīng)用追溯及取證 漏洞監(jiān)測(cè)及響應(yīng) 漏洞監(jiān)測(cè)服務(wù) 全球漏洞平臺(tái)實(shí)時(shí)監(jiān)測(cè) Sebug CVE OSVDB WooYun CNVD CNCERT Metasploit等國(guó)內(nèi)外知名漏洞平臺(tái)實(shí)時(shí)監(jiān)測(cè) 安全漏洞快速預(yù)警 為企業(yè)提供面向業(yè)務(wù)相關(guān) 行業(yè)相關(guān) 系統(tǒng)組件相關(guān)等方面漏洞的第一時(shí)間預(yù)警 漏洞問(wèn)題快速修復(fù)方案 為企業(yè)提供代碼層漏洞快速修復(fù)建議 配置策略修復(fù)咨詢 業(yè)務(wù)邏輯修復(fù)建議和緊急升級(jí)機(jī)制 漏洞問(wèn)題整體修復(fù)方案 針對(duì)整體設(shè)計(jì)層 架構(gòu)層 業(yè)務(wù)邏輯層 運(yùn)維及管理等方面提供修復(fù)方案 移動(dòng)威脅感知服務(wù) 介紹 構(gòu)建企業(yè)移動(dòng)威脅感知體系 防刷單 搶單 刷積分 欺詐校驗(yàn)等黑產(chǎn)風(fēng)險(xiǎn)主要功能 反刷票刷單 解決針對(duì)移動(dòng)系統(tǒng)的刷單 刷票 羊毛黨等非正常業(yè)務(wù)行為 保護(hù)用戶營(yíng)銷(xiāo)體系及業(yè)務(wù)體系的健康 反虛假營(yíng)銷(xiāo) 解決移動(dòng)應(yīng)用推廣及激活過(guò)程中的虛假營(yíng)銷(xiāo)風(fēng)險(xiǎn) 幫助客戶提升推廣效果 節(jié)約推廣成本 反盜號(hào)盜刷 解決移動(dòng)應(yīng)用賬號(hào)丟失 木馬病毒及黑產(chǎn)導(dǎo)致的威脅 保護(hù)用戶資金賬號(hào)安全 定制化威脅模型 基于行為數(shù)據(jù)和關(guān)聯(lián)分析建立的定制化威脅檢測(cè)模型 針對(duì)特定客戶的特定威脅做檢測(cè) 統(tǒng)一整合到威脅感知平臺(tái) 業(yè)務(wù)流審計(jì)系統(tǒng) 介紹 捕獲偽裝成正常流量的各種隱藏性攻擊 保護(hù)金融 電商 政府 物聯(lián)網(wǎng)等行業(yè)業(yè)務(wù)系統(tǒng)安全業(yè)務(wù)流量攻擊 惡意刷票 惡意刷單 惡意下單 刷金幣等虛擬資產(chǎn) 盜用賬號(hào)消費(fèi) 欺詐交易 暴力破解 撞庫(kù)攻擊 惡意抓取信息 惡意刷營(yíng)銷(xiāo)獎(jiǎng)勵(lì) 業(yè)務(wù)流審計(jì)系統(tǒng) 效果和優(yōu)勢(shì) 多層次 立體化行為規(guī)則判定提醒 基于單條報(bào)文的訪問(wèn)行為 多條報(bào)文行為 上下文行為關(guān)系 組合行為 組合規(guī)則等進(jìn)行多層次立體化判斷 智能判斷戶流量行為 流量訪問(wèn)行為和安全規(guī)則相互對(duì)應(yīng) 智能匹配 全面防范業(yè)務(wù)流量攻擊 全面理解業(yè)務(wù)系統(tǒng)的用戶訪問(wèn)邏輯 正常行為 異常行為 從各方面防范業(yè)務(wù)流量攻擊 與傳統(tǒng)安全產(chǎn)品互補(bǔ) 業(yè)務(wù)流量攻擊防護(hù)與傳統(tǒng)防火墻和入侵檢測(cè)產(chǎn)品形成有效互補(bǔ) 梆山系列 移動(dòng)應(yīng)用安全檢測(cè)系統(tǒng)移動(dòng)應(yīng)用滲透性測(cè)試移動(dòng)應(yīng)用合規(guī)性測(cè)試移動(dòng)應(yīng)用源代碼審計(jì) 移動(dòng)應(yīng)用安全檢測(cè)系統(tǒng) 介紹 檢測(cè)App內(nèi)部存在的安全風(fēng)險(xiǎn) 漏洞 對(duì)發(fā)現(xiàn)的安全問(wèn)題給出解決建議 幫助開(kāi)發(fā)者了解并提高其開(kāi)發(fā)程序的安全性 主要功能 安全檢測(cè) 對(duì)病毒 木馬 惡意代碼 敏感權(quán)限調(diào)用 廣告 惡意扣費(fèi)等安全特征進(jìn)行檢測(cè) 以及自身風(fēng)險(xiǎn) 漏洞進(jìn)行定制化檢測(cè) 漏洞掃描 對(duì)應(yīng)用程序進(jìn)行靜態(tài)漏洞掃描 并在模擬器中對(duì)應(yīng)用進(jìn)行實(shí)時(shí)漏洞攻擊檢測(cè) 風(fēng)險(xiǎn)評(píng)估 對(duì)可能存在風(fēng)險(xiǎn)隱患的功能調(diào)用 系統(tǒng)組件 接口等發(fā)那個(gè)面進(jìn)行安全評(píng)估 及時(shí)發(fā)現(xiàn)潛在風(fēng)險(xiǎn) 解決建議 針對(duì)安全檢測(cè)系統(tǒng)發(fā)現(xiàn)的各類(lèi)安全問(wèn)題 提供可靠的安全解決建議 移動(dòng)應(yīng)用安全檢測(cè)系統(tǒng) 技術(shù)特點(diǎn) 智能啟發(fā)式病毒查殺引擎 系統(tǒng)組件安全檢測(cè) 敏感行為檢測(cè) 配置文件 敏感參數(shù)檢測(cè) 第三方SDK安全檢測(cè) 高危系統(tǒng)權(quán)限檢測(cè) 敏感關(guān)鍵詞識(shí)別 攻擊防御能力評(píng)估 代碼自我保護(hù)能力評(píng)估 Java層防調(diào)試能力評(píng)估 動(dòng)態(tài)防注入風(fēng)險(xiǎn)分析 App惡意篡改風(fēng)險(xiǎn)分析 存儲(chǔ)數(shù)據(jù)風(fēng)險(xiǎn)分析 通訊傳輸風(fēng)險(xiǎn)分析 數(shù)據(jù)庫(kù)注入漏洞測(cè)試 高危熱點(diǎn)漏洞攻擊測(cè)試 移動(dòng)應(yīng)用滲透性測(cè)試 介紹 檢驗(yàn)移動(dòng)應(yīng)用系統(tǒng)和業(yè)務(wù)邏輯的脆弱性和有效性主要功能 應(yīng)用系統(tǒng)滲透評(píng)估 針對(duì)移動(dòng)應(yīng)用的身份認(rèn)證 通信安全防護(hù)機(jī)制 日志安全 數(shù)據(jù)防篡改能力等方面 進(jìn)行滲透評(píng)估 業(yè)務(wù)安全滲透評(píng)估 針對(duì)用戶信息資料 開(kāi)戶 登錄 變更 交易 支付等業(yè)務(wù)方面 進(jìn)行滲透評(píng)估 解決建議及POC 對(duì)滲透測(cè)試發(fā)現(xiàn)的風(fēng)險(xiǎn)及漏洞 提供可行解決方案 提供POC漏洞驗(yàn)證及修復(fù)效果演示 主要技術(shù)特點(diǎn) 身份認(rèn)證機(jī)制檢測(cè) 服務(wù)端鑒權(quán)機(jī)制檢測(cè) 通信會(huì)話安全機(jī)制檢測(cè) 訪問(wèn)控制機(jī)制檢測(cè) 敏感信息保護(hù)機(jī)制檢測(cè) 數(shù)據(jù)防篡改能力檢測(cè) 日志安全策略檢測(cè) 防SQL注入能力檢測(cè) 交易流程安全機(jī)制檢測(cè) 防釣魚(yú)安全能力檢測(cè) 移動(dòng)應(yīng)用合規(guī)性測(cè)試 介紹 檢測(cè)App內(nèi)部存在的安全風(fēng)險(xiǎn) 漏洞 對(duì)發(fā)現(xiàn)的安全問(wèn)題給出解決建議 幫助開(kāi)發(fā)者了解并提高其開(kāi)發(fā)程序的安全性 合規(guī)性測(cè)試目的 檢測(cè)App系統(tǒng)漏洞 對(duì)編碼規(guī)范 常見(jiàn)攻擊防范能力 會(huì)話安全 數(shù)據(jù)完整性 數(shù)據(jù)保密性 身份校驗(yàn)等系統(tǒng)安全進(jìn)行測(cè)試 檢測(cè)App業(yè)務(wù)漏洞 對(duì)注冊(cè) 登錄 交易 轉(zhuǎn)賬 支付等業(yè)務(wù)安全 邏輯安全進(jìn)行測(cè)試 檢測(cè)國(guó)家 行業(yè)相關(guān)政策 規(guī)定的符合程度 對(duì)國(guó)家行業(yè)監(jiān)管機(jī)構(gòu) 行業(yè)內(nèi)部安全約束條款的符合性進(jìn)行測(cè)試 避免潛在的安全風(fēng)險(xiǎn) 避免因相關(guān)文件規(guī)定技術(shù)理解不到位或安全技術(shù)實(shí)施能力不足 導(dǎo)致的合規(guī)性風(fēng)險(xiǎn) 移動(dòng)應(yīng)用合規(guī)性測(cè)試 部分技術(shù)要點(diǎn) SSL證書(shū)驗(yàn)證是否完整 移動(dòng)銀行客戶端是否存在鍵盤(pán)劫持情況 是否存在代碼反編譯 組件劫持的現(xiàn)象 調(diào)試日志中是否暴露了用戶敏感信息 調(diào)試接口是否已經(jīng)關(guān)閉 內(nèi)存 緩存信息是否及時(shí)清除 對(duì)移動(dòng)應(yīng)用安全認(rèn)證體系進(jìn)行整體安全性評(píng)估 交易安全性以及敏感信息是否泄漏 移動(dòng)應(yīng)用源代碼審計(jì) 介紹 對(duì)移動(dòng)應(yīng)用源代碼的安全性 脆弱性 風(fēng)險(xiǎn)及漏洞進(jìn)行檢查和挖掘 幫助企業(yè)發(fā)現(xiàn)并修復(fù)潛在安全風(fēng)險(xiǎn)服務(wù)內(nèi)容 安全編碼及開(kāi)發(fā)規(guī)范 為客戶在應(yīng)用軟件開(kāi)發(fā)之前 提供Android iOS客戶端編碼機(jī)開(kāi)發(fā)規(guī)范 避免不安全的編碼方式和開(kāi)發(fā)流程所帶來(lái)的風(fēng)險(xiǎn) 源代碼安全現(xiàn)狀測(cè)評(píng) 針對(duì)軟件開(kāi)發(fā)過(guò)程中的編碼階段 測(cè)試階段 交付驗(yàn)收階段進(jìn)行安全審計(jì)檢測(cè) 利用專(zhuān)業(yè)的源代碼審計(jì)工具對(duì)潛在的威脅 漏洞 錯(cuò)誤進(jìn)行檢測(cè) 并提供專(zhuān)業(yè)的安全審計(jì)結(jié)果和分析報(bào)告 問(wèn)題分析與修復(fù) 依據(jù)源代碼安全審計(jì)結(jié)果 對(duì)相關(guān)安全漏洞結(jié)合客戶業(yè)務(wù)進(jìn)行深入分析 提供問(wèn)題修復(fù)建議 協(xié)助企業(yè)開(kāi)發(fā)人員對(duì)漏洞進(jìn)行修復(fù) 梆水系列 移動(dòng)應(yīng)用業(yè)務(wù)安全咨詢移動(dòng)開(kāi)發(fā)及設(shè)計(jì)咨詢大數(shù)據(jù)采集大數(shù)據(jù)存儲(chǔ)與分析大數(shù)據(jù)安全建模 移動(dòng)應(yīng)用業(yè)務(wù)安全咨詢 介紹 針對(duì) 端 管 云 潛在的業(yè)務(wù)風(fēng)險(xiǎn)和漏洞提供安全咨詢與分析 以及問(wèn)題修復(fù)建議和方案 移動(dòng)應(yīng)用業(yè)務(wù)安全咨詢 針對(duì)安全風(fēng)險(xiǎn)的應(yīng)對(duì)策略 客戶端程序安全加固 釣魚(yú)與仿冒應(yīng)用監(jiān)測(cè)及響應(yīng) 客戶端環(huán)境 清場(chǎng) 保護(hù) 密碼安全鍵盤(pán)保護(hù)輸入信息安全 防刷量 刷票保護(hù) 通信協(xié)議加密 網(wǎng)絡(luò)入侵檢測(cè) 識(shí)別 開(kāi)發(fā)安全標(biāo)準(zhǔn)和規(guī)范控制 第三方服務(wù)安全審核 API安全檢測(cè)及應(yīng)急切斷 移動(dòng)開(kāi)發(fā)及設(shè)計(jì)咨詢 介紹 為開(kāi)發(fā)者提供移動(dòng)應(yīng)用客戶端 服務(wù)端安全開(kāi)發(fā)標(biāo)準(zhǔn)與規(guī)范梆梆安全開(kāi)發(fā)及設(shè)計(jì)咨詢服務(wù) 梆梆安全的移動(dòng)安全開(kāi)發(fā)規(guī)范咨詢服務(wù) 幫助金融 政府等企業(yè)機(jī)構(gòu)從業(yè)務(wù)系統(tǒng)的開(kāi)發(fā)初期 就對(duì)需求設(shè)計(jì) 業(yè)務(wù)設(shè)計(jì) 編碼開(kāi)發(fā) 測(cè)試等階段的開(kāi)發(fā)與設(shè)計(jì)工作進(jìn)行質(zhì)量把控 全面提高相關(guān)從業(yè)人員的安全素養(yǎng)和執(zhí)行標(biāo)準(zhǔn) 大幅度降低因人員素質(zhì)參差不齊 業(yè)務(wù)流程管理缺陷等問(wèn)題引入的安全風(fēng)險(xiǎn) 移動(dòng)開(kāi)發(fā)及設(shè)計(jì)咨詢 針對(duì)開(kāi)發(fā)及設(shè)計(jì)相關(guān)內(nèi)容 梆梆安全面向應(yīng)用程序客戶端 服務(wù)端和數(shù)據(jù)傳輸?shù)确矫?提供相關(guān)安全標(biāo)準(zhǔn)和規(guī)范指導(dǎo) AndroidApp安全開(kāi)發(fā)規(guī)范與指導(dǎo) iOSApp安全開(kāi)發(fā)規(guī)范與指導(dǎo) 服務(wù)端安全開(kāi)發(fā)規(guī)范與指導(dǎo) 安全設(shè)計(jì)通用基本原則 數(shù)據(jù)安全開(kāi)發(fā)規(guī)范 代碼防逆向混淆技術(shù)指導(dǎo) Https協(xié)議安全加密技術(shù)指導(dǎo) API防泄漏安全指導(dǎo) 日志及配置文件安全管理規(guī)范 事務(wù)異常處理及應(yīng)急響應(yīng)機(jī)制 第三方業(yè)務(wù)的安全審計(jì)標(biāo)準(zhǔn) 大數(shù)據(jù)采集 介紹 及時(shí)掌握產(chǎn)品的運(yùn)行狀態(tài) 了解用戶行為 提高核心業(yè)務(wù)預(yù)測(cè)能力 輔助企業(yè)完成精準(zhǔn)營(yíng)銷(xiāo)大數(shù)據(jù)時(shí)代核心價(jià)值 通過(guò)對(duì)基于App的各類(lèi)元數(shù)據(jù)采集 為企業(yè)提供高附加價(jià)值 用戶群體精準(zhǔn)畫(huà)像 對(duì)數(shù)據(jù)采集 分析 可以清晰把握用戶群體的業(yè)務(wù)使用特點(diǎn) 喜好 習(xí)慣 對(duì)于業(yè)務(wù)的用戶群體響應(yīng)更加及時(shí) 數(shù)據(jù)結(jié)構(gòu)化 信息化 告別傳統(tǒng)商業(yè)數(shù)據(jù)人工調(diào)查 樣本篩選 通過(guò)對(duì)數(shù)據(jù)的分類(lèi) 細(xì)分 將具有一定共性的數(shù)據(jù)分類(lèi)進(jìn)行組織 存儲(chǔ) 形成系統(tǒng)化 可視化的數(shù)據(jù)結(jié)構(gòu) 大數(shù)據(jù)采集 輔助市場(chǎng)判斷及決策 根據(jù)獲得的分析數(shù)據(jù) 提煉精準(zhǔn)用戶數(shù)據(jù) 結(jié)合業(yè)務(wù)營(yíng)銷(xiāo)方式和用戶的業(yè)務(wù)使用效果 對(duì)產(chǎn)品及業(yè)務(wù)的運(yùn)營(yíng)效果進(jìn)行判斷和決策 創(chuàng)造新價(jià)值 當(dāng)數(shù)據(jù)的數(shù)量和質(zhì)量達(dá)到一定程度后 不僅可以輔助業(yè)務(wù)部門(mén)進(jìn)行決策 還可以分析演化形成各類(lèi)更符合用戶和市場(chǎng)的新產(chǎn)品 帶來(lái)新的價(jià)值和商業(yè)模式 改版管理方式 降低維護(hù)成本對(duì)數(shù)據(jù)的分析 可以獲得傳統(tǒng)業(yè)務(wù)及數(shù)據(jù)管理方式的不足 能夠定制更加實(shí)用的自動(dòng)化管理工具 降低人工管理成本和錯(cuò)誤 大數(shù)據(jù)采集 梆梆安全大數(shù)據(jù)采集業(yè)務(wù)組件 以SDK形式提供給客戶使用 體積小 集成方便 針對(duì)不同行業(yè)用戶 提供差異化大數(shù)據(jù)采集支持 大數(shù)據(jù)存儲(chǔ)與分析 介紹 為企業(yè)提供大數(shù)據(jù)存儲(chǔ)管理及全方位大數(shù)據(jù)分析服務(wù) 節(jié)省企業(yè)的人力成本 時(shí)間成本主要功能 大數(shù)據(jù)存儲(chǔ)架構(gòu)設(shè)計(jì) 提供數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì) 分布式數(shù)據(jù)存儲(chǔ)架構(gòu)搭建 數(shù)據(jù)模型及工具定制等服務(wù) 終端設(shè)備數(shù)據(jù)分析