muchener's blogs

muchener's blogs

iOS权限检测方法
原文:https://www.freebuf.com/articles/compliance/292914.html 市面上的隐私合规产品针对iOS的测试能力十分有限,下文是利用iOS15隐私新功能给大家提供一个简单又能解决一定问题的iOS下权限合规检测的方法。 本身没有任何技术含量,最近简单接触了下ios下的合规测试,记个流水账,希望有大佬可以提供更好的解决方案。 0 环境及工具环境:Mac、iphone(iOS15.0及以上) Mac工具:Xcode、Apple Configurator 2 iphone工具:隐私洞见 1 常见权限 2 info.plist 文件2.1 info.p...
App安全合规—part3 SDK合规
本文发布在Freebuf:https://www.freebuf.com/articles/compliance/280167.html 0 前言软件开发工具包(Software Development Kit,简称SDK)因其可以简化开发提高运营效率近几年被广泛使用,但因SDK提供者安全意识淡薄、市场监管力度低,从而出现安全漏洞、恶意行为、违法违规收集用户个人信息等安全问题 自2020年315晚会爆第三方开发的SDK违规收集用户个人信息的情况后,监管力度才逐渐加强。虽然监管重心依旧在App开发及应用平台方,但迫于App接入方和监管方压力,SDK提供方也在积极配合整改,如设立SDK合规专...
2021年的面试总结
今年做了一个好几年以来都没做过的项目——面试。以前觉得面试这个事挺忌讳的,但是也会听人说没事就要多面试,不一定要跳槽也是为了看看自己的市场和行情,了解下面试大家关注的问题。 1关于自己的市场简历投的比较少,注重岗位和公司,还有能给出来的薪资。投了银行两个,1个一面挂;互联网公司4个,面试3个,其中1个一面不直达挂没挂,1个三面挂,1个三面还在等消息。综合来看。自己在市场上并不受欢迎,原因如下: app合规做的比较多虽然是热门,但是这块工作是找咨询公司也能完成,是阶段性的,不能长久。 学历问题是硬伤,双非一本学校,大概有两个简历没过是因为学历问题。 技术性工作经验为0,如果想做数据工...
产品必读--登录/注册页合规篇
其实开始没打算写这个题材的,但是偶尔留意常用App的登录注册页,也时不常接触公司涉及登录的整改情况,发现这里其实大有玄机,今天作为一个不专业的合规人员从一个不专业的产品经理的角度来梳理下登录/注册页的合规问题,有不对的地方欢迎批评指正。 下文中截图的登录注册页均选自常用的App。 0 前言很多人看到这个标题可能会说:我知道,不就是要征得个人信息主体的明示同意嘛,即注册/登录前要明示隐私政策、用户协议并获取用户的授权同意。 但是每次都征求用户同意这个操作十分影响用户体验,于是产品同学就对上述征得明示同意的功能页做了一些优化调整,但是在调整的过程中没有时刻遵循明示同意的要求原则。 1 登...
读书笔记-企业信息安全管理从0到1——加密存储方案
需要解密还原的数据——3种典型场景的存储加密方案。 场景1:线上服务实施存储的的敏感字段信息 敏感字段采用AES256算法加密 密钥保管于特定文件,由负责该系统发布的运维人员生成并代填 禁止开发和运维人员申请和使用与敏感字段密文相关的数据库权限 为线上服务容器和密钥文件设置单独的运行账户和权限,禁止开发人员和数据库管理员申请和使用该权限 针对相关权限、密钥文件和数据密文建立操作监控和审计能力 场景2:敏感数据备份文件加密 由负责备份恢复的运维人员生成-对RSA2048公私钥,私钥由其自己保管。 备份脚本随机生成AES256密钥,并使用RSA2048公钥加密AES256密钥,RSA2...
读书笔记-企业信息安全管理从0到1
这本书讲得其实很细,很0,很适合接触安全面不宽、时间不长的从业者,根据自己的工作做了一点点笔记。 如何要HC?其实我一直觉得准备好理由,比如工作计划、人力配置等是常规操作,但是对于一些初入职场不就的工作来说,这块还是欠缺的。 做好工作计划表,人力配置最好精确到0.1 对比往年的工作量,可以精准到人天,今年的工作量增加在哪?人力配置为什么多要? 分析目前的形式,对领导可能问的问题有准备 SRC作用 多招一个安全工程师的成本远大于开设SRC发放奖励,并且SRC是按结果付费 众人拾柴火焰高 其实还有漏洞发散吧,自己总比外人了解业务,类比提前发现,减少支出。(不过这不带表内部已知) SRC...
App安全合规-Part8:App权限问题
Freebuf:https://www.freebuf.com/articles/compliance/275082.html 0 前言App系统权限与个人信息紧紧关联,如存储权限-相册/文件、位置权限-地理位置等等,所以做好权限申请的把控也是App安全合规治理中十分重要的部分。下文主要参考TC260-PG-20204A 《网络安全标准实践指南—移动互联网应用程序(App)系统权限申 请使用指南》(下文称为指南)结合了一些国民App中做的比较好的例子进行说明。 本指南依据法律法规和政策标准要求,针对App申请使用系统权限存在的强制、频繁、过度索权,及捆绑授权、私自调用权限上传个人信息、...
App安全合规-part9:隐私合规产品调研
Freebuf:https://www.freebuf.com/articles/compliance/275273.html 0 前言随着监管越来越严格,企业对App安全合规的重视,很多乙方安全公司也都分分推出了自己的检测产品,像百度、钱信、通付盾、爱加密等等。App隐私合规产品大概都需要什么样的功能呢?哪些功能是一个使用人最需要的呢?试用了一些产品做了竞品分析工作,从一个需求方来分享下隐私合规产品都需要哪些硬性的功能。 1 产品功能 其实从产品架构上来讲,各家的实现方式都大同小异,各家产品白皮书上也都放了产品架构图,可以自行查看,下边主要一些功能和问题。 1.1 产品对比用途:同一...
一个安全合规人员应该具备的能力
做了两年的相关工作,啥大风大浪没经历过,有装可爱卖萌的时候,也有勇敢堵人的时候,更有委到屈哭泣的时候,总结下做我觉得这类岗位所必备能力,可能有点偏向App安全合规但都大同小异。(专业知识不多,可以对号打钩匹配) 写给即将步入职场或想做相关工作的你~ 专业技能1)熟悉相关的法律法规,从大小来说:个保法、数据安全法、相关国标、监管动态等等; 有些条款可能会比较难懂,可以参考一些指南或者解读来看;也可以根据监管动态,定位当前阶段的监管重点,推断监管形势走向。重中之重是要实操,比如选一款产品来针对标准逐一检查。 2)产品技能(可能比较概括) 调研及竞品分析技能,因为你也需要搜罗各种通知、学习各...
App安全合规-Part5:如何做好App整改应急响应工作
历史文章目录 APP安全认证的工作流程梳理 当前监管的重点变化梳理 如何做好App整改应急响应工作(下文) 起了这个名字,主要是必须要加重这项工作的重要程度。清明节期间刚刚经历了一场应急响应工作,3.31接到整改通知,并且需要在4.6号完成提包。这两天看到通报的名单中没有自己公司的APP,感觉一切都是值得的。 此次整理的流程和内容均都是和Anna、云云、lpy共同完成。下文主要针对工信部的通报,其他的可参考。 0 应急工作涉及人员经过这次紧急的整改,让我深深了解到整改不是某一方加班加点工作就能解决的,而是需要多方共同努力。渠道及时发现整改通知并及时组建应急响应小组,法务及安全合...
avatar
暮晨儿
witness me