为何电商安全我打4分.pdf

为何电商安全我打为何电商安全我打44分分 About Me ID: p0tt1(波蒂) 昵称昵称 黑客叔叔黑客叔叔 甲方公司信息安全顾问 乙方公司信息安全工程师 SniFFeR.Pro团队创始人 RainRaid(雨袭团) 众测团队负责人 XconXcon与与XkongFooXkongFoo演讲者演讲者 主要从事大型企业信息安全工作 渗透测试渗透测试,,数据分析与安全产品设计数据分析与安全产品设计 探讨一个问题：利益核心的保护造就商企的信息安全观 我们如何看待传统企业关注的信息安全和电子 商务的企业信息安全？抛开业务形式的更新与 优势，仅仅探讨信息安全层面究竟是进步还是 退步... ... 每一场战争都有其核心的问题，那个才是重点 对于电商，银行，金融行业等等。防御的初衷 是一致的，那就是保护自己的利益（当然客户 的也可以有的也可以有 ））。那么反之那么反之 ，威胁方的思路也很威胁方的思路也很 简单，就是能够从业务的各个环节入手，找到 可乘之机，切入企业组织的利益链，从中获利。 斗胆定个调调：分析主要利益环节，划分攻击面 ///电商信息安全防御本质上的误区 防御体系的套用防御体系的套用 （（无定制性无定制性 ）） 防御手段的套用（无针对性） 防御面的套用防御面的套用 （（无对应性无对应性 ）） 风险控制与安全体系 的相对剥离 0101 给电商安全打个分给电商安全打个分 目录目录 0202 电商的安全之痛电商的安全之痛 CONTENTS 0303 深入安全运维深入安全运维 0404 塔防式防御体系塔防式防御体系 给电商安全打个分 RRaiinRRaidid雨袭团众测团队雨袭团众测团队 内部数据整理 48 100% 121 113113 小时小时 众测 电商 平均 渗透 项目项目 项目项目 测试测试 测试测试 时间 成功 率率 运用最多的手段并不是漏洞运用最多的手段并不是漏洞 漏洞利用甚至连前三都排不进 11例如例如 ““泄露数据泄露数据”” 数据 22