漫谈移动银行-马传雷

《漫谈移动银行-马传雷》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、2014/7/7漫谈移动银行安全性Aboutme•flyh4t•PHP安全爱好者•绿盟科技安全技术部总监•六年应用安全测试、渗透测试、安全评估经验•machuanlei@nsfocus.com12014/7/7移动银行技术实现移动银行分类SMS•利用短信办理业务STK•将银行服务的菜单写入特制的STK卡，为客户的菜单式操作USSD•USSD是一种基于GSM网络的新型交互式数据业务，可以用于开发各种业务Kjava•Kjava是专门用于嵌入式设备的Java应用，是Java技术在无线小终端设备上的延伸•brew是一种基于CDMA网

2、络的技术。用户可以通过下载应用软件到手机上运行，从BREW而实现各种功能WAP•Wap是开发移动网络上类似互联网应用的一系列规范的组合APP•app•微信／易信22014/7/7移动银行开发商开发商融易通联龙博通中科金财恒生电子上海屹通科蓝软件银行自主开发……移动银行和网银的关系32014/7/7网络拓扑图移动银行系统结构42014/7/7二次加密技术方案业务处理52014/7/7移动银行面临的安全问题移动银行面临的安全问题移动银行安全合规安全实现基础环境策略性客户技术重打业务管理端/服逻辑木马钓鱼企业架构包攻行业安全流程务

3、端漏洞病毒攻击内部缺陷击漏洞62014/7/7移动银行面临的安全问题•安全策略业务安全策略72014/7/7补卡攻击短信网关黑客移动银行服务端后台服务器合法用户管理流程82014/7/7Debug接口未关闭Debug接口未关闭92014/7/7移动银行面临的安全问题•安全实现技术架构设计缺陷102014/7/7越权查询漏洞黑客移动银行服务端后台服务器登录系统查询卡号信息查询其他用户卡号信息短信验证码泄漏漏洞黑客移动银行服务端后台服务器短信网关合法用户112014/7/7短信验证码暴力破解客户端漏洞：未验证ssl证书12201

4、4/7/7客户端漏洞：未验证ssl证书服务端漏洞132014/7/7服务端漏洞服务端漏洞142014/7/7业务逻辑漏洞移动银行面临的安全问题•基础环境152014/7/7基础环境漏洞底层安全机制较弱162014/7/7病毒木马•2013年全年，截获手机病毒总量超过79万个，其中截获Android平台病毒包达到76万个；•与2012年相比,2013年截获的病毒包总数是2012的4.47倍，手机病毒呈现疯狂增长态势。•从2012年到2013年，是截至目前手机染毒用户数激增暴涨的2年。2012年1月~2013年12月，手机染毒总

5、用户数突破1.4亿，接近俄罗斯总人口。；移动手机病毒及恶意攻击172014/7/7媒体报道病毒木马182014/7/7重打包攻击钓鱼攻击192014/7/7一种新的黑色产业链App加固保护移动银行App启动正常的虚拟机启动保护代码启动自我修改代码反调式保护启完整性检查启修改虚拟机动动修改后的虚拟检查机载入和运行加失败密的代码中止程序（可为服执行业务功能务器报警）202014/7/7AndroidAPP加固保护腾360娜梆爱通讯迦梆加付密盾某大行APP破解案例212014/7/7某大行APP破解案例还可以怎么破222014/7

6、/7微信银行安全性移动银行面临的安全问题•合规性232014/7/7合规性•内部的监管•外部的监管–人行–银监绿盟科技移动银行安全解决方案•NSFocusMB-SDLC242014/7/7SDLC需求阶段安全目标识别安全需求分析安全需求报告架构设计阶段安全设计原则威胁建模安全方案设计功能实现阶段安全编码安全测试运维阶段安全保障应急响应修复安全漏洞所需要的成本35倍30倍25倍20倍15倍10倍5倍0倍需求/架构编码集成/组件测试系统/验收测试发布252014/7/7安全需求监管要求业务需求安全实践安全目标和需求移动应用安全控

7、制模型262014/7/7输出物：安全架构和设计输出物：安全功能设计272014/7/7编码规范和代码审计报告测试规范和测试报告282014/7/7运维监控总结服务客户端安全培训•架构咨询•安全监控•安全意识•代码审计•app保护•技术能力•安全测试•安全评估•应急响应292014/7/7乙方工程师那点事向坚守在乙方的安全工程师致敬我们的幸福不是来自于掌握高精尖的技术，而是来自于通过自己的努力解决他人的痛苦。302014/7/731