安全测试checklist
信息安全内审checklist完整版
是否有定期的Review
是否有用户注册的管理
1. 确认用户账号是否有申请书。确认用户ID及主要访问的清单,要求删除的用户或访问权限是否及时修改。确认处理申请的记录。
是否有特权管理的管理
如果访问控制清单等是以纸张形式打印出来的,确认是否保管在上锁的地方。电子文档是否保管在只有管理者才能打开的场所。
检查记录
是否定义了公共访问/交接区域?
确认定义文件
是否监控了公共访问和交接区域
实地查看是否有监控措施
服务器是否得到了妥善的安置和防护?
1. 重要的服务器放在安全的区域(如机房)2. 是否有UPS3. 温度和湿度合适
个人电脑是否得到了安置和防护?
1. 笔记本安装PoinSec,配有物理锁 2. 所有电脑使用密码屏幕保护3. 不用的笔记本是否放入带锁的柜中。
是否对网络服务的安全进行了控制
访问服务的安全
服务的安全
是否有移动介质清单的管理
1. 是否有管理清单2. 记录重要信息的外部存贮介质(例如:外置硬盘,CD,DVD,U盘,PCMCIA移动存储卡,存储备份资料用的备份设备等),是否被保管在带锁的文件柜中?
是否有移动介质报废管理
1. 报废的申请和审批记录1. 确认文本文件的废弃方法。2. 确认是否将含有重要信息的文本文件就此扔在垃圾箱中或扔在可回收资源的箱子中。3. 确认是否将垃圾箱和可回收资源的箱子放在安全的场所。4. 打印机上是否留有文件没有被取走
1. 是否有隔离区2. 从隔离区外是否可以访问区内网络资源
是否对网络连接实施了控制
接入网络前是否经过IM或者ISM的安全检查
是否实施了网络路由控制
是了信息访问限制策略
对照文件实地观察实施情况
安全检查checklist
安全检查checklist 安全检查checklist
检查内容 疏散门应向疏散方向开启 建筑周围消防车道是否畅通 安全疏散指示标志、应急照明完好 消防设施(灭火器、消火栓)良好备用,点检正常 消防设施(灭火器、消火栓)前1.5m内未被阻挡 室内、外消火栓无埋压圈占现象 不得损坏或者擅自挪用、拆除、停用消防设施、器材。 消防安全 各种消防器材、工具应按消防规范设置齐全,不准随便动用。安放地点周围不得堆放其它物品。 消防报警按钮未损坏或被阻挡 生产区用火管理到位,无违章及无证动火现象,无人员抽烟 施工现场动火,有危险作业许可证且放置于现场 动火现场有灭火器置于火源附近3米内 动火(切割/电焊)等作业人员有操作证 动火点周围10米内易燃、易爆物已做清除或有效隔离 配电箱周围1.5m内保持净空,箱体上无物品堆放 货物放置高度离喷淋设施(洒水头)的距离至少保持有50公分 除规定吸烟室外,不得在其他区域吸烟。 对易燃、易爆、剧毒和腐蚀等物品,必须分类妥善存放,并设专人严格管理 易燃、易爆等危险场所,严禁吸烟和明火作业,不得在有毒生产场所进餐、饮水 化学品摆放整齐,易燃化学品必须远离纸张、木制材料、布料等易燃烧物质摆放 化学品容器盖子盖紧,容器上有明显的化学品标示 化学品容器有破损,应立即与以更换 易燃化学品不得置放在插座、拖线板、仪器、电脑主机等电气设施的上方或贴放在旁边(任何可能因该化 学品洒翻触及带电体引发火灾之虞的位置) 化学品安全 仪器、电脑主机等电气设施在通电运转的情況下,严禁使用有机溶剂擦拭表面做5S 化学品储存场所,非岗位人员未经批准严禁入内,不得大门敞开,无人看管。 化学品堆垛应摆放整齐、方便、安全、节约。做到"两无两不":无倒置,无歪垛,不阻门,不阻路。留足 "五距":墙距为0.5m,顶距为0.5m,灯距为0.5m,垛距为1m,柱距为0.3m。 化学品储存场所的通风良好、温湿度控制良好并保存记录。 化学品储存场所卫生:清洁整齐,地面无零碎、散落的商品和杂物,多余木栈板集中存放指定位置。 化学品储存场所铺设地下电缆,地面上无明线。 化学品管理人员、物料人员、分装人员、加料人员必须持有效证件上岗。 固定插座、拖线板不应设置于太潮湿或可能遭液体泼溅的环境。 固定插座外盖绝缘良好,无脱落插座仍被使用 使用于插座上的电器之电缆, 插头都必须绝缘良好 不可将裸线直接插入插座使用 各闸刀、插座、调速器等无电源裸露现象 拖线板使用不可二条以上串接 (插线板严禁再接插线板) 非电气人员不准装修电气设备或线路 电气线路绝缘无损坏(电线外皮破裂或电具绝缘不良,应加以处理或更换新品) 检查项目 消防通道及应急疏散油或水,亦不得经过潮湿地面 电气安全 电线不可杂乱缠绕,任何时候都不得在电线上压重物(如工作桌、椅等),必要时设置坚固的保护盖。 线槽內置电线最多只得使用2/3空间,以免散热不良。 线槽外盖应盖好,随时保持完好。 各配电用电设施运行良好,无发热、发味、超电流或低电压运行等异常现象 新安装的电源线无私拉乱接现象 移动式用电设施有触电保护装置,装置灵敏可靠 使用手持电动工具必须绝缘可靠,有良好的接地或接零措施,并应戴好绝缘手套 使用电热设备、照明灯具或进行电焊,应与易燃物保持一定的安全距离。 电热器具用完后应及时断电,待余热散尽再收存。 电热设备周围不准堆放易燃物品。 无电炉烧水做饭现象 各种设备整洁,有无跑、冒、滴、漏、污染环境或乱排乱放现象 各种设备及安全附件运行良好,无带病运行或超负荷运行现象 操作、维修人员按时巡检、及时维护保养 设备安全 压力容器符合国家有关规定并进行了登记并正常年检 检查修理机械电气设备时,必须挂停电警示牌,设人监护 叉车(起重机械)严禁上高台。 配电室、空压机站、发电机房、特气房等要害部位,非岗位人员未经批准严禁入内 一切电气、机械设备的金属外壳和行车轨道等必须有可靠的接地或重复接地安全措施 工作前,必须按规定正确穿戴好防护用品 劳动保护 车间应备有紧急淋浴、冲眼等卫生设施 严禁任何人攀登吊运中的物件以及在吊钩下通过和停留 高空作业必须扎好安全带,不得低挂高用。戴好安全帽,不准穿硬底鞋,严禁在高空投掷工具、材料。 对有害气体、蒸汽、粉尘和热气的通风换气情况良好 生产区域内的地坑、沟、池、台设置的盖板、护栏完好 作业环境 各作业场所应整齐、清洁、通道平坦、防滑、畅通,无凹陷、无凸起、无绊脚物件和严重油污现象 各记录、报表认真填写,无涂改、摸黑或不按时填写制造假指标或表面不干净现象 楼梯、作业场所照明充足,无死角 生产指挥应统一口令,无违章指挥、多令指挥现象 各岗位操作应做到令行禁止,无违章作业、蛮干现象 违章违纪 各岗位按定额上岗,无人员缺岗现象,无班前饮酒人员上岗现象 班中作业人员能坚守岗位并精心操作,无离岗、串岗、睡岗或做与生产无关事情的现象 不准穿拖鞋、赤脚、赤膊、敞衣、戴头巾、围巾工作,女工要把发辫放入帽内。 凡高处作业、带电作业、禁火区域动火必须经有关部门审批方可进行。
Windows上线安全指标Checklist
检查结果 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合
推荐指标 □ □ □ □
启用
端口检查项
检查项
TCP端口:135、139、593、3389 UDP端口:137、138 其他应用相关的端口
检查结果 符合 □ 不符合 □ 符合 □ 不符合 □ 符合 □ 不符合 □
推荐指标
开启
检查结果
符合 □ 符合 □ 符合 □ 符合 □ 符合 □ 符合 □ 不符合 □ 不符合 □ 不符合 □ 不符合 □ 不符合 □ 不符合 □
推荐指标
删除Users用户组,审核“ Everyone”“成功”与"失败"
服务检查项
检查项
DNS Client Network Connections Remote Desktop Services Workstation
检查结果 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 检查结果 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合 符合 □ 不符合
其它检查项
检查项
是否删除默认共享
检查结果 符合 □ 不符合 □
推荐指标
删除
推荐指标
WSUS服务器推送 下载更新,手动选择是否安装更新 每季度最后安全补丁更新日期
文件与目录检查项
检查项
%systemdrive%\ %SystemRoot%\ %systemdrive%\ 用户 %SystemRoot%\system32 %SystemRoot%\system32\Config %SystemRoot%\system32\Config\systemprofile %SystemRoot%\system32\drivers\etc\host %SystemRoot%\system32\drivers\etc\services %SystemRoot%\system32\drivers\etc\networks
Web软件测试Checklist应用系列
Web软件测试Checklist应用系列简介:本文为系列文章"Web软件测试Checklit应用系列"中的第一篇。
该系列文章旨在阐述Checklit(检查清单)在Web软件产品测试中的应用,以帮助您了解如何利用Checklit这种重要的测试手段,更高效的寻找Web产品中的defect(缺陷)。
Checklit汇集了有经验的测试人员总结出来的最有效的测试想法,可以直接有效的指导测试工作,开阔测试人员的思路,能够快速的发现产品的缺陷并实现较好的测试覆盖,更重要的是该Checklit在不同的项目中具有很强的通用性。
回页首表格输入Checklit表1.表格输入Checklit总结1.1接收到非法输入时是否能恰当处理?一个好的软件,当接收到非法输入时,能够恰当的处理,不能给出不可预知的错误信息。
请看下面的例子。
Web产品页面上,输入域是必填项还是可选项需要进行验证。
有两个方面的验证需要完成:第一,必填输入域确实是必须填的,当没有输入时会有错误提示;可选输入域是可以不填的。
第二,确保必填输入域是确实必要的,而可选输入域是非必要的。
下面我们提供两个实例。
图2.可选项邮件地址未输入时报错图2的实例中,电子邮件地址为可选输入项,当用户没有填写该项时,产品提示需要输入邮件地址,而这与可选项的定义不符。
这是产品的一个缺陷。
图3.不合理的可选项输入设置图3的实例中显示为创建一个群组的窗口页面,该页面上唯一的输入即群组名称,而该群组名称作为群组的唯一标识,是应该为必填输入项的。
而这里,产品并未将该输入项作为必填项。
当用户不做任何输入,直接点击确定时,一个没有名字的群组将被创建。
这是不合理的,是产品的缺陷。
1.3输入超过允许长度的数据正常情况下,每个输入域对输入数据的长度需要进行约束,给出最小长度和最大长度限制。
如果用户输入的数据长度超过最大允许长度,程序需要做出恰当处理。
例如,测试人员可以创建一个1,000,000字节或者更长的字符串,将该字符串输入到输入区域内,并继续后续操作,比如保存或者运行,看程序是否能够给出错误提示或者对字符串长度进行自动截断处理等操作。
测试check List
测试 Check List1. 引言测试 Check List 是测试过程中的一项重要工具,用于确保测试的全面性和准确性。
本文档将介绍如何编写和使用测试Check List。
2. 撰写测试 Check List 步骤2.1 确定测试范围在撰写测试 Check List 之前,首先需要明确测试的范围。
测试范围应该包括待测系统的功能、性能、安全性等方面。
2.2 列出待测功能点根据测试范围,列出待测的功能点。
每个功能点应该明确描述功能的预期行为。
示例:功能点预期行为用户登录登录成功后跳转到主页发布新文章成功发布后在文章列表中显示修改用户信息保存修改后,信息应更新到数据库删除评论删除后评论应从数据库中删除2.3 列出待测边界条件边界条件是指系统中的特殊情况,如极限值、异常值等。
列出待测边界条件可以帮助测试人员更全面地覆盖系统的各种情况。
示例:功能点边界条件发布新文章文章标题为空发布新文章文章内容超过最大长度修改用户信息用户名包含特殊字符删除评论评论ID不存在2.4 列出待测的关键功能点关键功能点是指对系统核心功能进行测试的功能。
列出待测的关键功能点,可以帮助测试人员重点关注系统的重要部分。
示例:•用户注册•支付功能•数据加密2.5 根据测试需求添加测试用例根据待测功能点和边界条件,为每个功能点编写相应的测试用例。
测试用例应包括输入、预期输出和实际输出。
示例:测试用例 1:功能点:用户登录输入:用户名、密码预期输出:登录成功实际输出:登录成功测试用例 2:功能点:发布新文章输入:文章标题、文章内容预期输出:文章成功发布实际输出:文章成功发布2.6 检查测试用例的覆盖范围在添加测试用例后,需要检查测试用例的覆盖范围。
确保所有待测功能点和边界条件都有相应的测试用例。
2.7 根据测试需求添加测试数据根据测试用例的输入要求,准备测试所需的测试数据。
确保测试数据覆盖了各种情况,包括正常情况和异常情况。
2.8 评审和修正测试 Check List在完成测试 Check List 的编写之后,需要进行评审。
信息安全内审checklist
审查内容审察重点检查时间审察结果发现能否展开了信息安全的检查活动?有安全检查记录或许报告,和改良记录1,能否拟订了财产清单,包含了全部的客户信息财产,包含 1.确认财产清单正确服务器,个人电脑,网络设备,支持设备,人员,数据? 2.确认更新记录2,对这些财产清单能否有按期的更新? 3.客户的财产的保护上边的财产清单上能否表记了全部人和保存人?(重点:确认财产的全部人和保存人被清楚的表记,而且和实质状况符合)确认关于机密信息 ( 电子文档,打印文档 ), 限制范围能否按客户文档的密级规则进行了适合的保护的信息 ( 电子文档,打印文档 ) 能否有‘明确表记’。
依据需要,确认‘限制范围’,‘附加表记’,‘制定日期’,‘拟订者’。
能否使全部职工和信息安全有关人员签订了保密协议/合同?能否有信息安全意识、教育和培训计划?确认培训计划能否履行了信息安全意识、教育和培训?培训记录(实行日期,培训内容/ 教材 , 参加人员)能否拟订了信息安全惩戒规程?能否履行了信息安全惩戒?邮件用户能否消除了?抽查能否有辞职人员的用户权限没有被消除门禁权限能否消除了?内部 OA 权限能否消除了?抽查能否有辞职人员的用户权限没有被消除SVN/CC/VSS 权限能否消除了?部门服务器的权限能否消除(重点:实地检查能否有辞职职工/转出职工的接见了?权限没有被消除)能否制定规则区分了安全地区?确认风险评估时能否区分了安全地区等级能否履行了安全地区区分规则?对不一样样级的地区能否有相应举措,举措能否被执行1.在企业内部,职工能否佩戴能够辨别身份的门能否制定安全地区进出规则?卡。
2.机房,实验室能否有进出管束规则审查内容审察重点检查时间审察结果发现能否履行了安全地区进出规则(前台招待,机房,实验室访安装了防盗设备。
(机房大门的上锁,ID 卡的辨别装置进入,走开的管理),实验室进出能否有管理问控制)?记录能否认期履行门 / 窗等进口安全检查?检查记录能否认义了公共接见/交接地区?确认定义文件能否监控了公共接见和交接地区?实地查察能否有监控举措1.重要的服务器放在安全的地区(如机房)服务器能否获得了妥当的布置和防备? 2.能否有UPS3.温度和湿度适合1.笔录本安装 PoinSec, 配有物理锁个人电脑能否获得了布置和防备? 2.全部电脑使用密码屏幕保护3.不用的笔录本能否放入带锁的柜中。
功能测试用例checklist_版本_模块_责任人
是否通过Βιβλιοθήκη 兼容性测试checklist Checklist项(必须全部检查)
公共项
操作系统
文件系统
浏览器
浏览器
ie版本
数据库
杀毒软件
设备兼容
网口兼容
mtu
产品兼容 (各个产品 线设备兼容 性)
usb、dkey
usb、dkey
兼容性测试checklist Checklist项(必须全部检查) 是否考虑版本向前向后的兼容? 是否考虑补丁包或patch包的兼容? 是否考虑IE版本的兼容?(会出现浏览器javascript兼容性问题,如安全产品 bug 23668) 是否考虑不同控件的兼容? 是否考虑中英文操作系统的兼容? 是否考虑操作系统自动更新补丁和使用第三方软件(如360)更新补丁的兼容? 是否考虑不同版本操作系统的兼容?(涉及到PC安装程序的功能,需要覆盖不同的操作系统) 是否考虑第三方设备的兼容? 是否考虑第三方软件版本的兼容? 是否考虑第三方软件类型的兼容? 是否有针对干净系统进行客户端的兼容性测试?(主要排除和残余空间对测试影响) 是否有对dll文件进行测试? 是否验证测试对象可以和非特定的应用程序并行工作? 是否验证测试对象可以在非特定的环境下正常工作? 是否针对于单个功能模块或整个系统,而不是单个功能点? 是否和功能测试中备选场景的用户环境多样性测试区分开来? 涉及较多兼容性问题的版本,在版本中安排内部体验和公司级全员体验 例子:SSL安全桌面采用研发全员体验,发现了很多问题; 雨林木风、番茄、深度等精简或优化过的操作系统;主要涉及到客户端软件兼容或协议优化等都需要 考虑此问题,比如控件、客户端、加速效果、上网加速等; 例子:网上问题[bug3916],雨林沐风的操作系统缺少必要的动态库造成,在内网该用户也是访问不了 的,SSL4.3,WIN7访问域名资源有问题。 是否考虑公司产品兼容性测试? 1、客户端控件和应用程序的兼容性测试、各个产品线控件冲突测试; 2、产品功能互相冲突测试,如AC把SSL的连接识别为P2P、SSL负载均衡与AD均衡测试等; win 98 win me win2000 win2003 winXP vista win 7 windows 2008 linux fat32 fat16 reiserfs ext2、ext3 ntfs ie Firefox 遨游 Opera The World GreenBrowser MSN Explorer 谷歌浏览器 腾迅TT 360安全浏览器 搜狗浏览器
信息安全内审checklist
确认修理及报废时的HDD的对应方法。
设备处置是否经过了管理
审批记录
服务器,网络和应用系统的变更是否经过了管理?
变更申请记录
是否进行了防病毒软件的部署
确认部门系统和个人PC的手都已经部署并且状态正常。
是否有及时的防病毒软件的升级
对防病毒软件的是否进行了检查?(执行一次检查)
是否有信息安全意识、教育和培训计划?
确认培训计划
是否执行了信息安全意识、教育和培训?
培训记录(实施日期,培训内容/教材,参加人员)
是否制定了信息安全惩戒规程?
是否执行了信息安全惩戒?
邮件用户是否清除了?
抽查是否有离职人员的用户权限没有被清除
门禁权限是否清除了?
内部OA权限是否清除了?
抽查是否有离职人员的用户权限没有被清除
(要点:确认资产的所有人和保管人被清楚的标识,并且和实际情况相符)
是否按客户文档的密级规则进行了适当的保护
确认对于机密信息(电子文档,打印文档),限定范围的信息(电子文档,打印文档)是否有‘明确标识’。根据需要,确认‘限定范围’,‘附带标识’,‘制定日期’,‘制定者’。
是否使所有员工和信息安全相关人员签署了保密协议/合同?
1.是否有隔离区2.从隔离区外是否可以访问区内网络资源
是否对网络连Leabharlann 实施了控制接入网络前是否经过IM或者ISM的安全检查
是否实施了网络路由控制
是否制订了信息访问限制策略
访问策略定义文件
是否执行了信息访问限制策略
对照文件实地观察实施情况
是否对访问策略进行了审核
审核记录
是否定义了敏感系统
敏感系统列表
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中 高
高 低 低
不同用户之间session共享,可以非法操作对方的 数据。 简单的通过前端判断,或者低权限角色看不到对应 的菜单,但并未在后台去做当前登录用户是否有权
高 高 中 高 高 高 中 高 高
显示目录文件列表
没有过滤CR和LF字符
低 低
高 中 中 高 高 中
测试类型
测试点
上传功能
绕过文件上传检查功能 上传文件大小和次数限制 注册请求是否安全传输 注册时密码复杂度是否后台检验 激活链接测试 重复注册 批量注册问题 登录请求是否安全传输 会话固定
注册功能
登录功能 关键Cookie是否HttpOnly 登录请求错误次数限制 本地存储敏感信息 验证码的一次性 验证码绕过 短信邮箱验证码轰炸 通过手机号找回 忘记密码功能 通过邮箱找回 密码安全性要求 横向越权测试 纵向越权测试 XSS测试 SQL注入测试 CSRF测试 敏感信息泄露 目录遍历 CRLF测试 密码复杂度要求 密码保存要求 请测试所有接口越权情况 请测试所有接口越权情况 反射型XSS 存储型XSS DOM型XSS SQL注入测试 CSRF测试 SVN信息泄露 页面泄露敏感信息 目录遍历 CRL URL重定向测试 点击劫持ClickJacking XXE SSRF CORS问题
任意文件读取 URL重定向测试 页面点击劫持 XXE测试 SSRF CORS问题
详细描述 1、前台验证绕过 2、双后缀名绕过 3、%00截断绕过 上传文件无大小验证,可以恶意资源占用 使用https和非对称加密 非前台验证 激活链接是否可以预测与绕过
安全级别 高 低 中 低 中 中 中
使用https和非对称加密 Session fixation attack(会话固定攻击)是利用服 务器的session不变机制,借他人之手获得认证和 授权,然后冒充他人。
中 高 低 中
本地session中是否明文存储敏感信息
低 中 中
没有限制策略,就会被人恶意利用 由于程序设计不合理,导致可以绕过短信验证码, 从而修改别人的密码。(使用burpsuite抓包,修 改响应值true) 由于程序设计不合理,导致可以绕过短信验证码, 从而修改别人的密码。(使用burpsuite抓包,修 改响应值true)