Tag Archives: 信息安全

携程安全自动化测试之路

一、背景

业务代码上线前,通常会在测试环境经过一系列的功能测试。那么,从安全层面来说,web应用常见的web漏洞,如sql注入,xss攻击,敏感信息泄漏等,我们如何保证在上线前就能够自动化发现这些业务的安全漏洞呢?本文将详细讲述携程安全测试的自动化之路。 阅读全文

常见的用户密码加密方式以及破解方法

作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄露数据未加密或者加密方式比较弱,导致黑客可以还原出原始的用户密码。目前已经曝光的信息泄露事件至少上百起,其中包括多家一线互联网公司,泄露总数据超过10亿条。

要完全防止信息泄露是非常困难的事情,除了防止黑客外,还要防止内部人员泄密。但如果采用合适的算法去加密用户密码,即使信息泄露出去,黑客也无法还原出原始的密码(或者还原的代价非常大)。也就是说我们可以将工作重点从防止泄露转换到防止黑客还原出数据。下面我们将分别介绍用户密码的加密方式以及主要的破解方法。

阅读全文

JAVA反序列化安全实例解析

一、什么是序列化

序列化 (Serialization)是指将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。

简单来说:

序列化: 将数据结构或对象转换成二进制串的过程

反序列化:将在序列化过程中所生成的二进制串转换成数据结构或者对象的过程

阅读全文

携程风险防御体系的变革之路

【作者】携程技术中心信息安全部业务安全组。

随着OTA在线旅游市场规模越来越大,据统计,2016年第一季度中国在线旅游市场交易规模达到1301.2亿元,环比增长17.4%,同比增长41.4%。OTA市场营收规模为64.6亿元,同比增长51.3%,在这种高速增长的大环境下,国内的黑产行业自然不会放过这份饕餮盛宴。

不管是骗补贴,薅羊毛,信息欺诈,批量注册,爬虫或者是直接扫号后进行资金转移,已经从前几年的散兵游勇,发展为目前的集团化作战,对企业的各种防御策略,黑产团伙也进行了不断的变化,来进行适应及突破,从中获取巨大的利益。

为了应对黑产团伙的变化,自然企业的风险防御之道也需要随着黑产的变化而变化,并且在不久的将来,变化速度和深度都需要有一个质的飞跃,由被动防御变为主动感知。

阅读全文

Copyright © 1999 - 2014 Ctrip. Powered by WordPress.