本标准适用于Unix/Linux操作系统下的Oracle数据库系统,版本为8i、9i、10g。1安全补丁的更新加固目的及时更新数据库的安全补丁,减少数据库系统可能受到的攻击。加固方法查看http://metalink.oracle.com,下载并安装相关的安全补丁。参考Oracle厂商建议,仅对已发现的特定漏洞或缺陷安装相应补丁。2$ORACLE_HOME/bin目录权限保护加固目的确保对$ORA
原创
2013-08-29 16:35:29
2081阅读
点赞
解决方案账号按照用户分配账号,避免不同用户间共享账号。检查方式:需要和业务确认。删除或锁定与数据库运行、维护等工作无关的账号。检查方式:需要和业务确认。禁止以sys用户远程登录oracle。 --> 不满足要求,修改该参数要重启数据库检查方式:show parameter REMOTE_LOGIN_PASSWORDFILE --查看是否为none启用数据字典保护,只有 SYSDBA 用户才能
1.安全加固的检查方向 2.安全加固检查safeCheck.sh 3.安全加固执行safeExec.sh 1.安全加固的检查方向 1.1.sysdba用户远程登录限制(查看Oracle登录认证方式) 检查: 整改: 注:需要重启库生效。 1.2.是否开启了资源限制 1.3.登录失败的帐号锁定策略 关
转载
2015-04-24 20:48:00
207阅读
2评论
我们都知道密码策略加固的参数一般包括密码长度、复杂度检测、最大最小使用时间、过期警报时间、最大登录失败次数以及锁定时间等设置。
Oracle默认提供了一个密码策略的sql执行文件utlpwdmg.sql。linux/unix默认路径是$ORACLE_HOME/rdbms/admin/utlpwdmg.sql 。windows路径位置可以通过搜索来获得。
首先我们先看
原创
2013-03-08 00:37:29
7021阅读
点赞
1评论
一个应用系统做等保,需要对数据库进行安全加固,根据流程需要先在测试环境进行测试通过后应用于生产环境,这里简单记录测试过程,审计内容是评测的重要点,但是生产环境也不便于开启,这里先简单记录之,后面再进行相关内容补充。1. 删除无用多余的帐号1)查看帐号及状态SQL> select username,account_status from dba_users;USERNAME &nbs
原创
2014-12-09 00:11:11
2145阅读
点赞
我们都知道密码策略加固的参数一般包括密码长度、复杂度检测、最大最小使用时间、过期警报时间、最大登录失败次数以及锁定时间等设置。
Oracle默认提供了一个密码策略的sql执行文件utlpwdmg.sql.linux/unix默认路径是$ORACLE_HOME/rdbms/admin/utlpwdmg.sql .windows路径位置可以通过搜索来获得。
首先我们先看一
转载
精选
2013-03-30 09:48:34
1345阅读
环境: Linux 6.4 + Oracle 10.2.0.4 "1. Oracle 10g 审计功能" "2. 对数据库监听器的关闭和启动设置密码" <h1 id="1" 1. Oracle 10g 审计功能</h1 Oracle 10g审计功能默认是关闭的。需要注意开启审计功能必然会额外消耗一...
转载
2015-11-25 17:36:00
36阅读
2评论
有防逆向,如DEX文件的保护、SO文件的保护、SDK的保护以及JS、H5、HTML等文件的保护,利用一些加固技术去做防逆向的保
没有绝对的安全,只能相对之前的更安全一点,下面介绍一下APP加固的常用手段一些实用手段 防止 tweak 依附 通常来说,我们要分析一个 app,最开始一般是砸壳, $ DYLD_INSERT_LIBRARIES=dumpdecrypted.dylib /path/to/XXX.app/XXX 然后将解密之后的二进制文件扔给类似 hopper 这样的反编译器
转载
2023-09-07 23:57:10
0阅读
Tinker编译相关问题? 编译过程相关的issue请先查看是否是以下情况:无法打开sample工程: 请使用单独的IDE窗口打开tinker-sample-android工程;tinkerId is not set: 这是因为没有正确的配置IDE的git路径, 若不是通过clone方式下载tinker,需要本地手动commit一次。这里你也可以使用其他字符作为tinkerId;对于编
研究了大半年逆向工程了,没在博客做记录,最近看到篇,跟自己的想法不谋而合,摘要下:运行在越狱设备上的 iOS app,非常容易遭到破解分析,这里我列举一些可以加大破解难度的方法,希望有所帮助。 一些实用手段 防止 tweak 依附 通常来说,我们要分析一个 app,最开始一般是砸壳, $ DYLD_INSERT_LIBRARIES=dumpdec
转载
2023-09-06 21:17:11
0阅读
http://jiagu.360.cn/#/app/android这个是加固地址 如果变了请自己找先打包签名一个尚未加固的apk上传到这个网址加固 然后下载下来然后再签名 360也提供了签名工具 http://jiagu.360.cn/#/global/help/84 也可以自己用命令行签名 应用宝的地址是 http://op.open.
原创
2023-05-01 07:53:56
435阅读
360加固助手加固应用并自动签名的方法!360加固助手是一款最专业的安全保护加固助手,专为软件应用开发者量身打造的apk加固软件,它可以有效的防止应用软件被逆向分析、反编译、二次打包等才做,不过很多很多用户初次使用360加固助手时,不知道如何在加固应用的同时,对apk应用添加上签名,故此小编为大家带来了360加固助手加固应用并自动签名的方法,下面我们来了解下吧!大小:68.2 MB版本:3.2.2
转载
2023-09-07 23:57:18
87阅读
Android应用加固的简单实现方案概述Android应用加固的诸多方案中,其中一种就是基于dex的加固,本文介绍基于dex的加固方案。原理:在AndroidManifest中指定启动Application为壳Module的Application,生成APK后,将壳Module的AAR文件和加密后的APK中的dex文件合并,然后重新打包签名。安装应用运行后,通过壳Module的Applicatio
转载
2023-07-30 22:26:09
341阅读
一、前言之前使用的360加固,挺好用的,从2021年底的时候限制每天每个账号仅上传2次apk(免费的,不知道VIP的是不是这样)。通过这个事情,感觉技术还是掌握在自己手里稳妥点,不用受制于人,想怎么玩就怎么玩。通过技术调研有两条路子可以走:方式一:直接对apk进行加密,启动应用时通过壳程序去加载apk运行;方式二:仅对原apk的dex文件进行加密,启动应用时对dex解密,通过DexClassLoa
转载
2023-07-06 14:25:43
0阅读
安卓加固基础(一)1.Dex字符串加密1.1 前序Android应用当中,很多隐私信息都是以字符串的形式存在的。这些隐私信息是明文,对于软件来说是想当不安全的,如果我们能在打包时对Dex中的字符串加密替换,并在运行时调用解密,这样就能够避免字符串明文存在于Dex中。虽然,无法完全避免被破解,但是加大了逆向提取信息的难度,安全性无疑提高了很多。1.2 字符串加密方法简介目前市面上主要存在两种字符串加
