应用系统安全通用技术要求（转发）

转发自 https://github.com/aka99/sdl/blob/master/appsecreq.md

1　标识与鉴别

1.1　身份标识

应用系统的管理员及普通用户应具有明确的身份标识（账号）：

野路子企业安全架构设计（转发）

转发自 https://github.com/mylamour/blog/issues/33

default
首先，知道业务有哪些，有多少资产，然后是数据的流向，知道要分析哪些流量。想要发现什么，阻止什么。其实Google的OKR也可以在这里应用。例如，安全架构的OKR可以这样：

O: 发现入侵者，减缓或者阻断攻击，以及取证。

Android APP安全checklist

Checklist整理

Android进程注入工具 --Poison

0x00 描述

之前做的渗透测试几乎都是web和移动server端的，客户端只会拿apktool、dex2jar、drozer等工具反编译一下看看源码和四大组件安全。公司要求我对移动客户端进行安全评估，看了一篇360的关于Android应用的评估报告，发现有很多的测试项我都没有测试过，并且网上的细节资料很少，偶得一款inject工具，尝试了一些app都能成功，把过程记录一下。

安卓模拟器安装证书问题

0x00 描述

在做android app测试，使用安卓模拟器导入burp证书时，发现证书文件是灰色的