(在OSX中)攻击者是否有可能在密码管理应用程序(破解的非法版本,从盗版网站下载)中添加指令,使程序通过网络发送凭据?
1)当破解应用程序(OSX上下文)时,他破坏了代码签名证书(即使他没有附加任何恶意软件,只需破解它),因此,基本上在尝试安装时,用户仍然会被提示输入"Are you sure you want to open? it comes from an unknown developer"消息。->没有办法让用户(在安装过程中)检测到类似的东西,对吗?当然,稍后可以使用类似于LittleSnitch的东西在网络级别上检测到。
2)另外,怎样才能做到这样的事情呢?
我正在开发一个Iphone应用程序,我有一个信用卡支付流程。我还保存了信用卡,以便以后快速使用。
我想确保遵守PCI-DSS提供的所有安全标准
(pdf链接)
有一点是这样说的:
6.2 Establish a process to identify and assign a risk ranking to newly discovered security vulnerabilities
如何识别Iphone应用程序中的安全漏洞?有没有我可以使用的工具或者可以遵循的流程来检测它们?
我对这意味着什么以及我应该遵循什么流程来检测安全漏洞感到有点迷茫。
感谢任何帮助,链接或澄清这一点。
我通过我的网站收到了一条奇怪的联系信息,声称他们发现了一个安全漏洞,并怀疑我是否有一个bug赏金程序。
他们分享的细节如下:
Only what I can say is that I found a way to infect people with silent java drive by on one of your websites .
用无声的java驱动器感染人们意味着什么?
我认识一家电子商务公司,它有一个面向公众的网站,比如www.app.com,它的网页是www.app.com/version.jsp,也可以公开访问。该页具有以下信息。
Build Info
Path: /root/version/app/v5.6/b10
Server: appUSA-prod-srv1
Date: 09/10/2017 6:21 AM
Source: svn@svn
CI: Link (this leads to an internal link which is inaccessible to public)
Gradle is used in n