跟我学IBM AppScan Web安全检测工具——AppScan软件工具的基本功能和应用
1.1跟我学IBM AppScan Web安全检测工具——AppScan软件工具的基本功能和应用
1.1.1启动AppScan软件
1、将出现下面的启动界面
2、提示要求修改IE的配置。
点击对话框中的“确定”按钮,以允许AppScan进行更改。AppScan然后将退出,需要重新启动AppScan。
3、欢迎屏幕
本示例选择“取消”按钮,最终将出现下面的结果界面——欢迎屏幕。
4、可以开始新的扫描过程
点击其中的“Create New Scan”(创建新的扫描)将可以开始扫描一个新的Web应用程序,并打开新建扫描的对话框。
1.1.2AppScan软件的主界面
1、AppScan启动后的主界面示图
(1)菜单栏的主要功能
其中的“菜单栏”对AppScan的所有命令都可以从菜单栏中找到,有一些常用的命令没有放在“工具栏”中,例如:经常用到的命令“重新测试”在工具栏中是不会出现的,路径是“扫描->重新扫描”。
而对于某些用户可能经常用到的Web Service的扫描测试也只能在菜单栏中找到,路径是“扫描->探索Web service”。
(2)工具栏的主要功能
1)扫描
通过“扫描”按钮,在建立测试、完成扫描配置的以后,可以控制AppScan的扫描阶段——探索、测试、完全扫描。
2)手动探索
通过“手动探索”按钮,在需要对“爬虫”无法自动探索到的页面进行测试的时候,可以启动AppScan自带的浏览器,在人工访问系统的方式中探索系统页面。
3)配置
通过“配置”按钮,可以对扫描的策略进行配置。
4)报告
通过“报告”按钮,可以对目前的扫描进度进行安全测试报告的生成。
下面为创建检测报告的过程示图。
5)扫描日志
通过“扫描日志”按钮,可以实时的了解目前AppScan的安全测试用例执行情况。
(3)应用程序树
在这个窗口里中主要显示被检测的Web应用系统的层次结构——站点结构图,基于URL和基于内容形式的文件夹和文件等都会在这里显示;其中以“基于URL”的方式观察被检测的系统,可以了解已探索的Web应用结构,而以“基于内容的”方式观察被检测的系统,可以了解已探索的Web应用结构,但是都是以标题属性进行分类。
下面为在“应用程序视图”方式下,左边的应用程序树面板内的信息显示布局。
而下面为在“安全性问题”方式下,左边的应用程序树面板内的信息显示布局。
在旁边的括号中显示的数字代表存在的漏洞或者相关的安全问题,通过右键单击文件夹或者URL可以选择是否忽略扫描此节点下的文件或者目录。
(4)结果列表
包含“数据”、“问题”、“任务”三个不同的视图,并且可以分别进行切换。其中的“数据”视图显示测试过程中各种测试信息,包括了左边Web应用结构窗口中所选条目的:请求、参数、页面、失败的请求等信息;“问题”视图显示了所有目前已知的安全漏洞,以及这些安全漏洞存在的URL与URL所对应的参数;“任务”视图显示了对于开发人员而言的“修复任务”。
(5)漏洞描述窗口
提供“测试情况”视图中,漏洞的描述、修改建议、验证方式等信息。.通过展开树形结构可以看到一个特定漏洞的具体情况。
(6)状态栏
已访问页面数信息,即探索发现的URL中已访问的页面数;已测试的元素数,即已执行的安全测试用例。
2、了解破解后的程序许可证
选择AppScan 主界面中的“帮助”菜单内的“许可证”子菜单项目。
将出现下面的许可证信息,尽管破解后的AppScan的许可证还是显示演示许可证,但扫描目标已经不受限制了,并且不影响使用、与正常的软件功能没有什么差别。
3、检查更新版本
由于目前的软件为破解版本,因此无法更新软件。
4、改变系统的文件保存的目录配置选项
可以在“Tools”菜单中,选择“Options”(选项)子菜单项目。
在“选项”对话框中切换到“一般”页面,可以改变相关的目录设置信息。
改变为如下目录:
5、选用外部浏览器
(1)AppScan在默认状态下是使用内带的浏览器
由于内带的浏览器对CSS和JS的兼容性比较差检测者也可以改变此选项——使用外部浏览器。可以通过设置来改变不默认使用AppScan内带的浏览器而选择其它类型的商业浏览器。只需要在“Tools”菜单中,选择“Options”子菜单项目。
然后再选择“扫描选项”页中的“使用外部浏览器”,可以使用IE、Firefox和Chrome 等浏览器。本示例应用IE浏览器。
但使用AppScan内带的浏览器,可以记录登录请求的顺序。
(2)什么场合下需要选用外部浏览器
如果待检测的Web应用系统是使用HTML5开发的,或者需要在特定的浏览器下应用,都需要进行此配置改变。
6、修改保存测试结果的时间间隔
由于AppScan保存测试结果的时间间隔的默认时间是“60分钟”,如果需要检测复杂的Web应用系统,检测时间比较漫长,如果在检测过程中频繁地保存检测结果,可能会影响到检测过程的效率,因此可以根据检测的需要进行修改调节。只需要在“工具”->“选项”中设置保存测试结果的时间间隔。
7、AppScan内带的实用工具
AppScan 也提供了一系列的小工具,下面为各个小工具程序的主要功能说明。
(1)Authentication Tester(认证测试)
通过暴力检测方法扫描被测网站的用户名称和密码,但破解的结果取决于密码策略字典强大与否。点击其中的“设置”按钮,在登录过程的录制页面的登录表单中输入模拟的账号BruteUsername 和对应的密码BrutePassword,然后再点击登录表单中的“登录”按钮以提交登录数据。
如下出现下面的“捕获登录请求”,则表明Authentication Tester已经识别出了待破解的登录页面。
点击对话框中的“确定”按钮后,将出现需要确认登录成功后的匹配信息的对话框,根据待破解的系统中的登录成功后的页面中的标志性的文字信息,在对话框中进行相关的设置定义。
如下为破解的过程示图。
(2)Connection Test(连接测试)
可以用来ping一个网站,但仅此而已。
(3)Encode/Decode(编码/解码)
分析扫描结果的同时,可能会遇到许多的地方需要进行编码和解码。
(4)HTTP Request Editor(Http请求编辑器)
可以修改请求的值来测试应用程序针对不同的请求返回的不同响应,并提供编辑HTTP 请求的功能。
8、命令行扫描程序
(1)命令行扫描程序AppScanCMD
在AppScan的安装目录C:\Program Files (x86)\IBM\AppScan Standard中提供有一个命令行的扫描程序AppScanCMD.exe。
可以应用该命令在命令提示符下进行安全扫描
AppScanCMD的扫描必须基于一个base_scan,目的就是为了读取扫描参数。所以在使用AppScanCMD之前必须要通过对应的GUI程序创建一个base_scan。创建base_scan跟在GUI的扫描程序中新建一个扫描任务是一样的,唯一区别在“扫描配置向导”的最一步选择“我将稍后启动扫描”,然后保存扫描到文件。
(2)顺序扫描多个站点
由于GUI方式的AppScan程序在新建扫描任务时只能输入一个扫描的target,而通过应用批处理脚本的方式可以实现顺序扫描多个站点。
@echooff
appscancmd /e /b D:\2.scan /d D:\1.scan /v
appscancmd /e /b D:\3.scan /d D:\2.scan /v
appscancmd /e /b D:\4.scan /d D:\3.scan /v
appscancmd /e /b D:\5.scan /d D:\4.scan /v
appscancmd /e /b D:\6.scan /d D:\5.scan /v
pause
其中的命令参数“/e”表示执行扫描,“/b D:\2.scan”指定base_scan(扫描目标站点的扫描配置结果文件),“/d D:\1.scan”代表扫描结果保存的位置和文件名(该文件必须为.scan 文件的绝对路径,可以与base_scan是同一个文件,也可以新指定一个文件),“/v”代表详细模式——在扫描时动态显示扫描状态,默认值为false,即不显示扫描状态。
(3)AppScanCMD的主要命令行参数的含义
参数简写简写2 含义参数值说明参数类型
exec ex e 执行扫描任务
report rep r 执行报告生成任务
/base_scan /base /b 指定格式为.scan的基础文件必须为.scan文件的绝对路径必填
/dest_scan /dest /d 指定格式为.scan的文件名必须为.scan文件的绝对路径,可以与base_scan是同一个文件,也可以新指定一个文件,简单意思就是说扫描结果保存的位置和文件名,必填
/report_file /rf 指定报告保存的位置和文件名(文件名不带扩展名)报告要保存到哪里可选
/report_type /rt 指定报告类型(可选xml|pdf|rtf|txt|html)默认值是xml 可选
/min_severity /ms 指定报告中要体现的漏洞级别,不到级别的漏洞不写入报告(可选low|medium|high|informational)默认值是informational,也就是提示信息及以上级别的漏洞都写入报告,相当于写入扫描出来的全部漏洞内容可选
/verbose /v 详细模式若选择了该参数,则会在扫描时动态显示扫描状态默认值为false,即不显示扫描状态可选
/test_only /to 默认值为false 可选
/explore_only /eo 默认值为false 可选/multi-step /ms 默认值为false 可选
/test_type /tt 可选all|application|infrastructure 默认值为all 可选
安全测试报告_模板
Xxx系统安全测试报告 拟制:王道勇日期:2011-6-23 审核:日期: 批准:日期:
1.目的和范围 本测试报告为xxx系统安全测试报告,测试执行了所有测试用例。测试点包括:行权功能优化、委托功能优化、批量导入PBC功能优化。 1.1.目的 本文是xx系统安全测试报告,说明当前发布版本质量 1.2.范围 本文报告了本次测试的汇总数据,测试评价及测试结论 2.测试信息汇总 2.1.测试时间、地点、人力 2.2.基础统计数据 本次安全测试分2轮安全测试,测试用例覆盖率到达100% 用例执行情况如下:
执行用例总数=通过用例数+失败用例数+阻塞用例数+废弃用例数分析:第2轮系统较稳定,测试用例成功执行率高于第1轮。测试结果执行情况如下: 问题单数: 问题类别: 问题缺陷类型:
模块: 2.3.未解决缺陷说明 测试过程共发现问题:xx个。共解决问题:xx个。未解决问题:0个。详细信息请参考xxx 系统缺陷管理库 3.测试评价 3.1.测试充分性评价 对xxx进行了以下系统安全测试 测试的功能点包括: 系统安全测试执行的测试用例,测试覆盖全面。
严重程度,经过2轮的安全测试,系统达到安全需求 安全测试中,按照与业务部门确认的测试用例,测试覆盖全面,所有问题通过回归测试3.2.与需求符合性评价 Xxx系统的安全测试需求覆盖详细情况请参考《xxx系统需求说明书》 4.测试结论 本次测试覆盖全面,测试数据基础合理,测试有效。 SQL注入测试,已执行测试用例,问题回归后测试通过 跨站脚本测试,测试发现文本框对尖括号、百分号、单引号、圆括号、双引号进行了转义,测试通过。 跨目录测试,已执行测试用例,路径已加密,无漏洞,测试通过 用户权限控制和权限数据控制安全测试,已执行测试用例,问题经回归后测试通过。 综合以上结论得出本次测试通过 5.参考引用与术语 5.1.参考引用 无 5.2.术语 无 6.附录
appscan工具简述
1.appscan是一个web应用安全测试工具。 2.web攻击的类型比如: ●跨站脚本攻击:为了搜集用户信息,攻击者通常会在有漏洞的程序中插 入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户,达到盗取用 户帐户,修改用户设置,盗取/污染cookie,做虚假广告等目的。如注入 一个JavaScript弹出式的警告框:alert(1) ●消息泄露:web应用程序在处理用户错误请求时,程序在抛出异常的时候 给出了比较详细的内部错误信息,而暴露了不应该显示的执行细节,如 文件路径、数据库信息、中间件信息、ip地址等 ●SQL注入:将SQL命令人为地输入到URL、表格域、或者其他动态生成的 SQL查询语句的输入中,完成SQL攻击。以达到绕过认证、添加、删除、修改数据等目的。如sql查询代码为: strSQL = "SELECT * FROM users WHERE (name = '"+ us erName + "') and (pw = '"+ passWord+"');" 改为: strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');" 达到无账号密码,亦可登录网站。 3.appscan使用步骤:总的来说,就是指定要扫描的URL-选择测试策略-执行 扫描探索-执行测试-结果分析。 1)选择测试策略,文件-新建-选择一个模板“常规扫描”
2)出现扫描配置向导页面,这里是选择“AppScan(自动或手动)“,如图: 3)输入扫描项目目标URL,如果只想扫描指定URL目录下链接的话把“仅扫 描此目录中或目录下的链接”勾选上。 4)点击”下一步“,选择认证模式,出现登录管理的页面,这是因为对于 大部分网站,需要用户名和密码登录进去才可以查看许多内容,未登录的情况下就只可以访问部分页面。这里我选择的第一个,需要点击右边的记录进入浏览器手动登录,让它记录下这个登录信息。
软件安全测试报告.doc
软件安全性测试报告 软件安全性测试包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。 用户认证安全的测试要考虑问题: 1.明确区分系统中不同用户权限 2.系统中会不会出现用户冲突 3.系统会不会因用户的权限的改变造成混乱 4.用户登陆密码是否是可见、可复制 5.是否可以通过绝对途径登陆系统(拷贝用户登陆后的链接直接进入系统) 6.用户推出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令进入系统 系统网络安全的测试要考虑问题: 1.测试采取的防护措施是否正确装配好,有关系统的补丁是否打上 2.模拟非授权攻击,看防护系统是否坚固 3.采用成熟的网络漏洞检查工具检查系统相关漏洞(即用最专业的黑客攻击工具攻击试一下,现在最常用的是NBSI系列和IPhacker IP) 4.采用各种木马检查工具检查系统木马情况 5.采用各种防外挂工具检查系统各组程序的客外挂漏洞 数据库安全考虑问题: 1.系统数据是否机密(比如对银行系统,这一点就特别重要,一般的网站就没有太高要求) 2.系统数据的完整性(我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整,对于这个系统的功能实现有了障碍) 3.系统数据可管理性 4.系统数据的独立性 5.系统数据可备份和恢复能力(数据备份是否完整,可否恢复,恢复是否可以完整)
秋*;当MFC片刊卫” (W “? :5 心也“八 * HlLf咯丹& 咲士劃试址评怖 ■■|J W^|> 吕甜化比 WZZ* :芒 h V ?: 土闵森;I电特 江[」"■、i」 Hi'H5;.P ?"■ .ir ■;、:1八 股 ■ ■■ = ■■■ '..? -I \ K L,^p . t IH ■.: 1T7V 缈 .b-H^-f.^r- . r 工=i弘也”丸■£?;. k..x i 人{:此确币 吃 m* 冬 ji.lp- A Vtll t解X■也 曲r爭*觐虐詹出「丄二一「!__空亠- ,辛ffpiR; 芷MH *?(■、':.'".亍 \ m 1.*11 i :II
安全检测线操作规程示范文本
In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月 安全检测线操作规程示范 文本
规程文书样本 QCT/FS-ZH-GZ-K403 安全检测线操作规程示范文本 使用指引:此操作规程资料应用在实际工作生产管理中为了保障过程顺利推进,同时考虑各个环节之间的关系,每个环节实现的具体要求而进行的风险控制与规划,并将危害降低到最小,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 1、检测设备只能由受过专业培训和教育的可靠的操作员操作。 2、开机前应检查检测线各项设备仪具确保在工作机器旁边没有危险。 3、每次在开动检测台前要确保系统使用状态正确和安全。 4、操作时不许断开安全装置,改变或不按原规定使用。检测作业时,禁止检测线周边站有人员。 5、服用麻醉剂、酒或药物后的人员严禁操作本设备。 6、禁止测试每个车轮承重超过规定的车轴。 请在此位置输入品牌名/标语/slogan Please Enter The Brand Name / Slogan / Slogan In This Position, Such As Foonsion 第2页/总2页
AppScan常见故障及解决方法
IBM Appscan常见问题及解决方案 最近为了网站的安全测试,接触了IBM提供的一款工具--Appscan,可是好不容安装好后,在运行过程中问题也不断冒出,查询了一些资料,将遇到的问题及解决的方案记录如下: 1、"AppScan虚拟内存不足"错误从而停止工作 问题: 一旦达到内存限制,IBM Rational AppScan将会停止工作并显示错误消息:"AppScan内存需求已超过预定义的限制"。 症状: IBM Rational AppScan因为内存使用量增加从而停止扫描。如果强制选择继续扫描的话,Rational AppScan可能会发生崩溃并丢失所有的工作数据。 原因: 产品使用超出限度的内存量。 解决方案: 为了防止Rational AppScan因为超过内存限度而停止工作,可以进行相应的设定使Rational AppScan当内存使用量相对过大时自动重新启动。这样当扫描因为剩余的虚拟内存量过低从而被迫停止时,Rational AppScan会监测系统注册表的设定来决定是否重新启动。 Rational AppScan 7.7,7.8和7.9 自Rational AppScan 7.7版本以上,在主画面中选择菜单[工具]->[选项]->[高级]页面。 ·检索PerformanceMonitor.RestartOnOutOfMemory属性并将其设定为布尔值True。 还可以使用下面的属性
·检索PerformanceMonitor\minScanTimeDurationForRestart属性并设定适当的DWORD双字节数值,该数值是指定Rational AppScan在遇到内存问题之前应当运行的分钟数。 2、IBM Appscan使用时C盘空间不足的解决办法 症状: IBM Appscan使用时C盘空间不足 原因: Appscan默认会将其temp 文件夹设置为:c:\documents and Settings\All Users\Application Data\IBM\Rational AppScan\temp 当扫描的站点信息很多时,该文件夹大小会剧增,由于C盘空间不足而导致出现“磁盘空间不足”错误而退出。 解决方案: 建立如下环境变量:APPSCAN_TEMP,将其值设置为足够空间的temp文件夹 注意: ①.支持本地磁盘 ②.路径中不能包含中文/空格/特殊字符 ③、IBM Appscan使用时每隔一小时保存一次 这个其实并不能算问题,不过在目标非常大,扫描时间非常长的时候,这个问题会极大影响扫描速度。 解决方案: 在“工具”->“选项”中设置下自动保存时间,默认时间是“60分钟”,可以根据自己需要调节。
如何使用AppScan扫描大型网1
如何使用AppScan扫描大型网站 经常有客户抱怨,说AppScan无法扫描大型的网站,或者是扫描接近完成时候无法保存,甚至保存后的结果文件下次无法打开?;同时大家又都很奇怪,作为一款业界出名的工具,如此的脆弱?是配置使用不当还是自己不太了解呢?我们今天就一起来讨论下AppScan扫描大型网站会遇到的问题以及应对。 AppScan工作原理和网站规模讨论 1)网站规模 2)AppScan的工作原理 3)扫描规模:AppScan的扫描能力收到哪些因素的影响? 好的,对AppScan工具和网站的特点有了了解以后,我们来讨论如何更有效地使用AppScan来进行安全扫描,特别是扫描大型网站? 使用AppScan来进行扫描 我们按照PDCA的方法论来进行规划和讨论;建议的AppScan使用步骤:PDCA: Plan,Do,check, Action and Analysis. 计划阶段:明确目的,进行策略性的选择和任务分解。 1)明确目的:选择合适的扫描策略 2)了解对象:首先进行探索,了解网站结构和规模 3)确定策略:进行对应的配置 a)按照目录进行扫描任务的分解 b)按照扫描策略进行扫描任务的分解 执行阶段:一边扫描一遍观察 4)进行扫描 5)先爬后扫(继续仅测试) 检查阶段(Check) 6)检查和调整配置 结果分析(Analysis) 7)对比结果 8)汇总结果(整合和过滤)
其他常见的AppScan配置: 1)扫描保存的间隔时间 2)内存使用量 3)临时文件的保存路径 4)AppScan的工作原理 AppScan其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的AppScan source edition,到针对WEB应用进行快速扫描的AppScan standard edition.以及进行安全管理和汇总整合的AppScan enterprise Edition等,我们经常说的AppScan就是指的桌面版本的AppScan,即AppScan standard edition.其安装在Windows操作系统上,可以对网站等WEB 应用进行自动化的应用安全扫描和测试。 来张AppScan的截图,用图表说话,更明确。 图表 1 AppScan标准版界面 请注意右上角,单击“扫描”下面的小三角,可以出现如下的三个选型“继续完全扫描”,“继续仅探索”,“继续仅测试“,有木有?什么意思?理解了这个地方,就理解了AppScan的工作原理,我们慢慢展开: 还没有正式开始,所以先不管“继续“,直接来讨论’完全扫描”,“仅探索”,“仅测试”三个名词: AppScan是对网站等WEB应用进行安全攻击,通过真刀真枪的攻击,来检查网站是否存在安全漏洞;既然是攻击,肯定要有明确的攻击对象吧,比如北约现在的对象就是卡扎菲上校还有他的军队。对网站来说,一个网站存在的页面,可能成千上万。每个页面也都可能存在多个字段(参数),比如一个登陆界面,至少要输入用户名和密码吧,这就是一个页面存在两个字段,你提交了用户名密码等登陆信息,网站总要有地方接受并且检查是否正确吧,这就可能存在一个新的检查页面。这里的每个页面的每个参数都可能存在安全漏洞,所有都是被攻击对象,都需要来检查。
APPSCAN扫描说明
APPSCAN扫描说明 安装Appscan之前,关闭所有打开的应用程序。点击安装文件,会出现安装向导,如果你还没有安装.Net framwork,Appscan安装过程会自动安装,并需要重新启动。按照向导的指示,可以很容易的完成安装.如果你使用的是默认许可,你将只允许扫描appscan中的测试网站。要扫描自己的网站,需要付费购买许可版本. 探索和测试阶段: 在我们开始扫描之前,让我们对Appscan的工作做一个了解.任何自动化扫描器都有两个目标:找出所有可用的链接和攻击寻找应用程序漏洞。 探索(Explore): 在探索阶段,Appscan试图遍历网站中所有可用的链接,并建立一个层次结构。它发出请求,并根据响应来判断哪里是一个漏洞的影响范围。例如,看到一个登陆页面,它会确定通过绕过注入来通过验证.在探索阶段不执行任何的攻击,只是确定测试方向.这个阶段通过发送的多个请求确定网站的结构和即将测试的漏洞范围。 测试(Test): 在测试阶段,Appscan通过攻击来测试应用中的漏洞.通过释放出的实际攻击的有效载荷,来确定在探索阶段建立的安全漏洞的情况.并根据风险的严重程度排名。 在测试阶段可能回发现网站的新链接,因此Appscan在探索和测试阶段完成之后会开始另一轮的扫描,并继续重复以上的过程,直到没有新的链接可以测试。扫描的次数也可以在用户的设置中配置. 1. 新建扫描
2.
点击完全扫描配置,弹出以下窗口。
选择环境定义,并对网站使用的web服务器,应用程序服务器,数据库服务器进行按网站的配置填写。完成后点确定,并再点扫描目标笛导下一步。弹出以下窗口。
使用 AppScan 进行扫描
针对大型网站的扫描,我们按照戴明环 PDCA 的方法论来进行规划和讨论,建议 AppScan 使用步骤:计划(Plan)、执行(Do)、检查(check)、分析(Analysis and Action)。 1.在计划阶段:明确目的,进行策略性的选择和任务分解。 明确目的:选择合适的扫描策略 了解对象:首先进行探索,了解网站结构和规模 确定策略:进行对应的配置 按照目录进行扫描任务的分解 按照扫描策略进行扫描任务的分解 2.执行阶段:一边扫描一遍观察 进行扫描 先爬后扫(继续仅测试) 3.检查阶段(Check) 检查和调整配置 4.结果分析(Analysis) 对比结果 汇总结果(整合和过滤) 下面我们针对每个阶段,进行具体的阐述。 准备阶段 AppScan 安装环境要求和检查 为了保证更好的扫描效果,安装 AppScan 的硬件建议配置如下: Rational AppScan 安装配置要求 硬件最低需求 处理器Pentium P4,2.4 GHz 内存2 GB RAM 磁盘空间30 GB 网络1 NIC 100 Mbps(具有已配置的 TCP/IP 的网络通信) 其中,处理器和内存建议越大越好,而磁盘空间,建议系统盘(一般是 C 盘)磁盘空间至少保留 10G,如果系统盘磁盘空间比较少,可以考虑把用户文件等保存在其他盘;如默认的用户文件是:C:\Documents and Settings\Administrator\My Documents\AppScan;可以修改为其他路径。该路径可以在菜单栏中依次选择工具 - 选项 - 一般 - 文件位置部分修改。 图 1. 设置文件保存路径
安全测试内容
安全测试内容 一、企业文化知识 企业文化:由企业领导提倡,全体员工共同遵守的文化传统和不断革新的管理方式,是企业核心竞争力的重要组成部分。 中石油核心经营管理理念:诚信创新业绩和谐安全 西南油气田企业精神、宗旨:1)企业精神:爱国创业求实奉献2)企业宗旨:奉献能源创造和谐。 集团公司安全环保理念:环保优先、安全第一、质量至上、以人为本 企业宗旨:奉献能源创造和谐 企业精神:爱国、创业、求实、奉献 核心经营管理理念:诚实、创新、业绩、和谐、安全 二、HSE基本知识 西南油气田公司的HSE方针:以人为本、预防为主、全员参与、持续改进。 2013年工作会的目标努力实现“质量零缺陷、安全零伤害、环境零污染”目标,确保公司安全生产形势持续好转。 十条禁令: 一、严禁特种作业无有效操作证人员上岗操作; 二、严禁违反操作规程操作; 三、严禁无票证从事危险作业; 四、严禁脱岗、睡岗和酒后上岗; 五、严禁违反规定运输民爆物品、放射源和危险化学品; 六、严禁违章指挥、强令他人违章作业; 七、严禁高处作业不系挂安全带; 八、严禁在生产场所吸烟; 九、严禁未经授权拆除锁具和警示标识; 十、严禁超速行驶、驾驶时使用手机,乘车不系安全带 中国石油HSE管理九项原则 1、任何决策必须优先考虑健康安全环境 2、安全是聘用的必要条件 3、企业必须对员工进行健康安全环境培训 4、各级管理者对业务范围内的健康安全环境工作负责
5、各级管理者必须亲自参加健康安全环境审核 6、员工必须参与岗位危害识别及风险控制 7、事故隐患必须及时整改 8、所有事故事件必须及时报告、分析和处理 9、承包商管理执行统一的健康安全环境标准 有感领导:企业各级领导通过以身作则的良好个人安全行为,使员工真正感知到安全生产的重要性,感受到领导做好安全的示范性,感悟到自身做好安全的必要性 属地管理:属地管理,就是“谁的领域谁负责、谁的区域谁负责、谁的属地谁负责”。 直线责任 直线责任是指:机关职能部门和各级管理人员,包括机关职能部门的领导和人员在内,都有直线责任,都应该对业务范围内的HSE工作负责,都应结合本岗位管理工作负责相应HSE管理。 直线责任,就是“谁的工作,谁负责”,简明地讲就是“谁是第一责任人,谁负责安全”、“谁主管,谁负责”、“谁安排,谁负责”、“谁组织,谁负责”、“谁执行,谁负责”、“谁检查,谁负责”、“谁监督,谁负责”、“谁设计编写,谁负责”、“谁审核,谁负责”、“谁批准,谁负责”、“谁签字,谁负责”。 行为安全观察与沟通六步法;1.观察;2.表扬;3.讨论 4. 沟通;5. 启发; 6. 感谢 行为安全观察与沟通内容1. 员工的反应; 2. 员工的位置; 3. 个人防护装备; 4. 工具和设备5. 程序;6. 人体工效学; 7. 整洁. PSSR:启动前安全检查 JCA:工作循环分析 STOP卡:停止作业卡 JSA:工作安全分析 西南油气田分公司作业许可管理规定10项制度 ①作业许可管理规定;②工业动火作业安全管理规定;③高空作业安全管理规定; ④进入受限空间作业安全管理规定;⑤临时用电作业安全管理规定;⑥生产作业场所动土作业安全管理规定;⑦吊装作业安全管理规定;⑧管线与设备打开作业安全管理规定;⑨领导干部安全生产联系管理办法;⑩工程技术服务承包商健康安全环境管理办法 安全色:红、蓝、黄、绿1)红色表示禁止、停止的意思。2)黄色表示注意、警告的意思。3)蓝色表示指令、必须遵守的意思4)绿色表示通行、安全和提供信息的意思。 安全线:工矿企业中用以划分安全区域与危险区域的分界线。厂房内安全通道的标示线,铁路站台上的安全线都是属于此列。根据国家有关规定,安全线用白色,宽度不小于60㎜。 安全标志类型:禁止标志、警告标志、指令标志、提示标志 三、其它
跟我学IBM AppScan Web安全检测工具——应用AppScan软件工具进行安全检测(第1部分)
1.1跟我学IBM AppScan Web安全检测工具——如何应用AppScan软件工具进行安全检测(第1部分) 1.1.1新建和定义扫描配置 1、新建一个新的扫描 启动AppScan后可以在欢迎界面中点击“创建新的扫描”链接,或者选择“文件”菜单中的“新建”子菜单项目。 都将出现下面的“新建扫描”时所需要选择的模板对话框窗口,主要提供有如下类型的模板——常规扫描、快速且简单的扫描、综合扫描、基于参数的导航、WebSphere
Commerce、WebSphere Portal、https://www.360docs.net/doc/c07779135.html,、Hacme Bank、WebGoat v5等。 当然,也可以在欢迎对话框界面中选中已经存在的扫描配置文件,从而重用原有的扫描配置结果。 将出现如下的加载信息
可以在此配置文件的基础上继续检测或者显示出以前的检测结果信息。 2、应用某个扫描模板 选择一个适合满足检测要求的扫描模板——在模板中包括已经定义好的扫描配置,选择一个模板后会出现配置向导——本示例选择“常规扫描”模板(使用默认模板)。然后将出现下面的“扫描配置向导”对话框。 扫描配置向导是AppScan工具的核心部分,使用设置向导可以简化检测的配置过程。目前,在本示例程序中没有下载安装“GSC Web Service记录器”组件,因此目前还不能对“Web Service”相关的程序进行扫描。如果在Web应用系统中涉及Web Service,则需要下
载安装“GSC Web Service记录器”组件。 在“扫描配置向导”对话框中选择扫描的类型,目前选择“Web应用程序扫描”类型选择项目。然后再点击“下一步”按钮,将出现下面的“URL和服务器”界面。 3、定义URL和服务器 在“URL和服务器”界面中,根据检测的需要进行相关的配置定义。 (1)Starting URL(扫描的起始网址) 此功能指定要扫描的起始网址,在大多数情况下,这将是该网站的登陆页面或者Web 应用系统的首页面。Rational AppScan 提供有测试站点(https://www.360docs.net/doc/c07779135.html,,而登录https://www.360docs.net/doc/c07779135.html, 站点的用户名和密码为:jsmith / Demo1234),但本示例选择“http://XXX.XX.XX.XXX:3030/”(XX考勤系统)作为检测的起始网址,并选择“仅扫描此目录中或目录下的链接”的选择框,从而可以限制只扫描目标Web应用系统所在的工作目录下的各个链接。 (2)Case Sensitive Path(区分大小写的路径) 如果待检测的服务器URL有大小写的区别,则需要选择此项。对大小写的区别取决于服务器的操作系统类型,在Linux/Unix系统中对URL的大小写是敏感的,而Windows是没有此特性的。本示例的检测目标Web应用系统是部署在Windows系统中的,因此不需要选中“区分大小写的路径”的选择项目。 (3)Additional Servers and Domains(其他服务器和域) 在扫描过程中,AppScan尝试抓取本Web应用系统上的所有链接。当它发现了一个链接指向不同的域(比如子站点等),它是不会进行扫描攻击的,除非在“Additional Servers and Domains”(其他服务器和域)中有指定。因此,通过指定该标签下的链接来告诉AppScan 继续扫描,即使它和URL是在不同的域下。
安全性测试报告
安全性测试报告 Revised by Petrel at 2021
安全性测试报告陈星 1、Sql注入:后台身份验证绕过漏洞 验证绕过漏洞就是'or'='or'后台绕过漏洞,利用的就是AND和OR的运算规则,从而造成后台脚本逻辑性错误 例如管理员的账号密码都是admin,那么再比如后台的数据库查询语句是 user=request("user") passwd=request("passwd") sql='selectadminfromadminbatewhereuser='&'''&user&'''&'andpasswd=' &'''&passwd&''' 那么我使用'or'a'='a来做用户名密码的话,那么查询就变成了 selectadminfromadminbatewhereuser=''or'a'='a'andpasswd=''or'a'='a' 这样的话,根据运算规则,这里一共有4个查询语句,那么查询结果就是假or真and假or真,先算and再算or,最终结果为真,这样就可以进到后台了 这种漏洞存在必须要有2个条件,第一个:在后台验证代码上,账号密码的查询是要同一条查询语句,也就是类似
sql="select*fromadminwhereusername='"&username&'&"passwd='"&p asswd&' 如果一旦账号密码是分开查询的,先查帐号,再查密码,这样的话就没有办法了。 第二就是要看密码加不加密,一旦被MD5加密或者其他加密方式加密的,那就要看第一种条件有没有可以,没有达到第一种条件的话,那就没有戏了 2、跨站脚本攻击 XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。跨站脚本攻击是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 3、文件上传测试。网站用户可以上传自己的头像,上传图片格式的文件可以成功,非图片就不会成功上传。 4、系统权限测试。 用商家或学生用户账户密码,无法登陆管理员管理后台。学生和未登陆用户不能发布招收兼职的信息,商家用户登陆才能发布此信息。不同用户拥有不同的权限。 5、Cookie安全性测试。
信息系统安全检测报告
信息系统安全检测报告我校对信息安全和保密工作十分重视,成立了专门的领导组,建立健全了信息安全保密责任制和有关规章制度,由教务处网络管理室统一管理,负责网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我校网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。 一、计算机涉密信息管理情况 今年以来,我校加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。涉密计算机严禁接入局域网,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机及网络使用也严格按照计算机保密信息系统管理办法落实了有关措施,确保了考试信息安全。 二、计算机和网络安全情况 一是网络安全方面。我校终端计算机均安装了防病毒软件、软件防火墙,采用了强口令密码、数据库存储备份、移动存
储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。 二是日常管理方面切实抓好局域网和应用软件管理,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,公文传输系统、软件管理等。 三、硬件设备使用合理,软件设置规范,设备运行状况良好。我校每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故,局域网系统运行安全。 四,通迅设备运转正常 我校网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。 五、严格管理、规范设备维护
AppScan扫描建议
?登录|注册 ? ? 沉底的石头 ?目录视图 ?摘要视图 ?订阅 【免费公开课】Android APP开发之真机调试环境实现有奖试读—漫话程序员面试求职、升职加薪、创业与生活 AppScan扫描建议 2014-09-10 14:56 6270人阅读评论(0) 收藏举报 分类: 系统安全(4) 1.1 AppScan扫描建议 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [4] $(美元符号) [5] %(百分比符号) [6] @(at 符号) [7] '(单引号) [8] "(引号)
[9] \'(反斜杠转义单引号) [10] \"(反斜杠转义引号) [11] <>(尖括号) [12] ()(括号) [13] +(加号) [14] CR(回车符,ASCII0x0d) [15] LF(换行,ASCII0x0a) [16] ,(逗号) [17] \(反斜杠) 以下部分描述各种问题、问题的修订建议以及可能触发这些问题的危险字符:SQL 注入和 SQL 盲注: A. 确保用户输入的值和类型(如 Integer、Date 等)有效,且符合应用程序预期。 B. 利用存储过程,将数据访问抽象化,让用户不直接访问表或视图。当使用存储过程时,请利用 ADO 命令对象来实施它们,以强化变量类型。 C. 清理输入以排除上下文更改符号,例如: [1] '(单引号) [2] "(引号) [3] \'(反斜线转义单引号) [4] \"(反斜杠转义引号) [5] )(结束括号) [6] ;(分号) 跨站点脚本编制: A. 清理用户输入,并过滤出 JavaScript 代码。我们建议您过滤下列字符: [1] <>(尖括号) [2] "(引号) [3] '(单引号)
XX网站安全测试方案
XX检测计划 作者: 版本: 时间: 目录 一、检测背景- 1 - 二、检测目标- 1 -
三、检测方案- 1 - 1.方案概况- 1 - 2.配合要求- 2 - 3.检测流程- 2 - 4.检测对象- 3 - 5.检测周期- 3 - 四、风险声明- 4 - 1.操作系统和常见应用漏洞扫描- 4 - 2.WEB应用漏洞扫描- 5 - 一、检测背景 二、检测目标 三、检测方案 1.方案概况
2.配合要求 ?人员配合要求 ?提供的资料文档 ?提供的现场环境和条件 3.检测流程 信息收集:此阶段中,渗透检测小组进行必要的信息收集,通过现场访谈确定检测时间、检测方式、检测地点、注意事项等。通过互联网搜集,获取IP 地址、DNS 域名、应用系统、软硬件环境等。初步完成分析网络拓扑、操作系统、数据库版本等相关环境的目标。 渗透检测:此阶段中,渗透检测小组根据信息收集阶段分析的信息,从互联网模拟黑客攻击方式,对外部网络、系统进行渗透检测。此阶段如果发现问题,进行收集证据,简单利用漏洞获取非敏感信息,证明漏洞可用;如果未发现问题则渗透检测结束。 本次测试将大量使用自动化检测设备进行测试,主要针对网站安全性,网站敏感字,网页暗链进行检测。 输出报告:此阶段中,渗透检测小组根据检测的结果编写直观的渗透检测服务报告。
4.检测对象 序号名称域名IP地址备注 1 2 3 4 5.检测周期 编号阶段名工作内容最早启动时间最早结束时间最晚启动时间最晚结束时间最长天数
四、风险声明 1.操作系统和常见应用漏洞扫描 在使用扫描器对目标系统扫描的过程中,可能会出现以下的风险:?占用带宽(风险不高)。 ?进程、系统崩溃。由于目标系统的多样性及脆弱性,或是目标系统上某些特殊服务本身存在的缺陷,对扫描器发送的探测包或者渗透测试工具发出的测试数据不能正常响应,可能会出现系统崩溃或程序进程的崩溃。 ?登录界面锁死。扫描器可以对某些常用应用程序(系统登录、,SNMP,SSH,WEBLOGIC)的登录口令进行弱口令猜测验证,如果目标系统对登录失败次数进行了限制,尝试登录次数超过限定次数系统可能会锁死登录界面。 风险规避方法: ?根据目标系统的网络、应用状况,调整扫描测试时间段,采取避峰扫描; ?对扫描器扫描策略进行配置,适当调整扫描器的并发任务数和扫描的强度,可使减少扫描器工作时占用的带宽,降低对目标系统影响; ?根据目标系统及目标系统上运行的应用程序,通过与测评委托方相关人员协商,定制针对本系统测试的扫描插件、端口等配置,尽量合理设置扫描强度,降低目标系统或进程崩溃的风险; ?如目标系统对登录某些相关程序的尝试次数进行了限制,在进行扫描时,可屏蔽暴力猜解功能,以避免登录界面锁死的情况发生。
安全测试
安全测试 网页安全检查点 1 输入的数据没有进行有效的控制和验证 1) 数据类型(字符串,整型,实数,等) 2) 允许的字符集 3) 最小和最大的长度 4) 是否允许空输入 5) 参数是否是必须的 6) 重复是否允许 7) 数值范围 8) 特定的值(枚举型) 9) 特定的模式(正则表达式)(注:建议尽量采用白名单) 2 用户名和密码 1) 检测接口程序连接登录时,是否需要输入相应的用户 2) 是否设置密码最小长度(密码强度) 3) 用户名和密码中是否可以有空格或回车? 4) 是否允许密码和用户名一致 5) 防恶意注册:可否用自动填表工具自动注册用户?(傲游等) 6) 遗忘密码处理 7) 有无缺省的超级用户?(admin等,关键字需屏蔽) 8) 有无超级密码? 9) 是否有校验码? 10) 密码错误次数有无限制? 11) 大小写敏感? 12) 口令不允许以明码显示在输出设备上 13) 强制修改的时间间隔限制(初始默认密码) 14) 口令的唯一性限制(看需求是否需要) 15) 口令过期失效后,是否可以不登陆而直接浏览某个页面 16) 哪些页面或者文件需要登录后才能访问/下载 17) cookie中或隐藏变量中是否含有用户名、密码、userid等关键信息 3 直接输入需要权限的网页地址可以访问 避免研发只是简单的在客户端不显示权限高的功能项 举例Bug: 1) 没有登录或注销登录后,直接输入登录后才能查看的页面的网址(含跳转页面),能直接打开页面; 2) 注销后,点浏览器上的后退,可以进行操作。 3) 正常登录后,直接输入自己没有权限查看的页面的网址,可以打开页面。 4) 通过Http抓包的方式获取Http请求信息包经改装后重新发送 5) 从权限低的页面可以退回到高的页面(如发送消息后,浏览器后退到信息填写页面,这就是错误的)4 上传文件没有限制 1) 上传文件还要有大小的限制。 2) 上传木马病毒等(往往与权限一起验证) 3) 上传文件最好要有格式的限制; 5 不安全的存储 1) 在页面输入密码,页面应显示“*****”;
appscan安全扫描工具使用步骤
目录 1.工具安装 (2) 1.1工具包 (2) 1.2安装步骤 (2) 2.安全扫描 (2) 2.1前提条件 (2) 2.2扫描设置 (2)
1.工具安装 1.1工具包 在服务器上拷贝最近的压缩包,到本地进行解压,压缩包中包含内容如下: 1.2安装步骤 1、先安装AppScan8.0_Setup.exe,再次安装8.0.0.3-AppScan_Setup.exe 2、拷贝patch.exe、Keygen.exe到Appscan 安装目录如:C:\Program Files\IBM\Rational AppScan 3、双击运行patch.exe 4、双击运行Keygen.exe,生成license.lic 5、拷贝生成的license.lic到Appscan目录下的license文件夹中,如:C:\Program Files\IBM\Rational AppScan\License 6、在开始-运行点击IBM Rational Appscan 8.0 启动安全扫描工具 2.安全扫描 2.1前提条件 扫描的软件是B/S结构,验证码去掉或者已经写死。扫描一般分为前后台扫描,开发提供安全扫描的地址URL,用户名和密码。 2.2扫描设置 1、打开工具,点击【创建新的扫描】-【常规扫描】-【下一步】 2、输入要扫描的URL地址,如图:
3、点击【下一步】,在弹出框中点击【记录】 4、在弹出的扫描界面输入用户名、密码、验证码,点击登录,登录成功点击退出 5、点击【完全扫描配置】弹出“扫描配置”界面,在【登录管理】中点击“详细信息”如图: 6、在“登录序列”中选中“会话中”点击右键,修改为:忽略 7、点击【环境定义】选择:web服务器、应用程序服务器、数据库类型、第三方组件(由当前系统环境结构进行选择),其他参数项参照如下如:
安全性测试与评估报告模版
安全性测试与评估报告 1 客户信息 XX 2 测试过程示意图 本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的HTTP请求及响应,以便测试人员掌握应用程序所有的接入点(包括HTTP头,参数,cookies等);在主动模式中,测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试,其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统,即被动模式下的测试,然后再开展进一步的分析,即主动模式下的测试。主动测试会与被测目标进行直接的数据交互,而被动测试不需要。
表1 风险等级界定表
4 测试周期 本次安全测试,Sobug提供了核心白帽子XX名,测试周期X个月,对整个目标业务系统进行了详细的渗透测试。测试后的详细测试报告已经交由客户,并提供详细的顾问咨询服务,帮助客户整改。 5 测试报告汇总 6关于Sobug Sobug白帽众测是以众多安全专家的测试结果为导向的技术众包平台,帮助厂商在产品上线前对安全问题进行全面,有效的审计,同样也适用于上线后对安全问题的周期性巡检。 Sobug安全测试优势: ?安全的授权,平台双方均在授权下才能完成此测试过程,厂商需要签订合同,安全专家需要实名。
?行为的审计,对于保密性要求较高的厂商,可由平台提供堡垒机或厂商提供VPN,对测试行为进行审计。 ?过程的竞争,对于同一个安全问题,平台只奖励首个发现该问题的安全专家,充分挖掘潜在安全问题。 ?结果的保密,安全专家非经厂商允许,不能对外透露测试过程和结果的任何细节。 ?风险的规避,平台对双方在测试过程中发生的纠纷提供强有力的法律援助,最大限度保障平台双方的权益不受损害。 7总结 鉴于互联网安全风险的与日俱增,本次测试报告只代表当前风险评估现状,我们建议客户根据测试的结果进行安全整改,把安全风险降到最低,同时进行周期性的安全测试,本公司与XX已经建立长期的合作关系,作为安全顾问帮助客户进行安全体系的建设和安全能力水平的提升。 Sobug众测平台的介绍: Sobug众测平台是一个连接安全专家与厂商的网络安全众测平台,安全专家在平台上发现厂商的安全问题,厂商基于测试效果对安全专家进行奖励。目前接受Sobug众测平台服务的厂商有腾讯、爱奇艺、支付宝、锤子科技、37wan、PPTV、乐视网、Okcoin比特币、500彩票、脸萌、爱拍网、荔枝FM、卖座网等厂商。 Sobug众测的模式: 厂商在平台上发布需要测试的项目,比如*https://www.360docs.net/doc/c07779135.html, (https://www.360docs.net/doc/c07779135.html,为您的产品域名)众多实名认证的白帽子在平台上查看项目并对其进行测试,最终将漏洞详情提交到Sobug众测平台。 漏洞处理的方式: 测试结果提交到Sobug平台,由平台审核确认后同步给您来处理,整个漏洞处理的闭环
网站安全性测试体系
网站安全性测试体系 目录 1文档概述 (2) 1.1文档目的 (2) 1.2文档范围 (2) 1.3 读者对象 (2) 1.4 历史记录 (3) 2. 安全测试检查点 (3) 2.1网页安全检查点 (3) 2.1.1输入的数据没有进行有效的控制和验证 (3) 2.1.2 用户名和密码 (3) 2.1.3 直接输入需要权限的网页地址可以访问 (4) 2.1.4 上传文件没有限制 (4) 2.1.5 不安全的存储 (4) 2.1.6 操作时间的失效性 (5) 2.1.7 日志完整性 (5) 2.2系统服务器安全检查点 (5) 2.3数据库安全检查点 (6) 2.3支付宝接口检查点 (6) 3.网页安全测试工具 (7) 3.1 IBM AppScan (7)
3.2 HttpWatch (7) 3.3 Acunetix Web Vulnerability (7) 4.信息安全入侵测试 (9) 4.1上传漏洞 (9) 4.2暴库 (9) 4.3注入漏洞 (9) 4.4旁注 (11) 4.5COOKIE诈骗 (11) 5.测试用例模板 (11) 1文档概述 1.1文档目的 根据莱尔巴蒂电子商务网站的安全需求,对网站进行安全测评,测试内容涉及服务器主机安全、应用安全和数据安全,以及网站的重要安全隐患,如跨站脚本攻击、SQL注入、信息泄露、不安全的配置管理、支付方面、用户信息方面、商品管理方面等。 1.2文档范围 包括首页网页安全检查点、数据库安全检查点、系统安全检查点、接口安全测试等几方面展开 1.3 读者对象 公司内部测试,研发成员及管理层及第三方顾问
1.4 历史记录 (A-添加,M-修改,D-删除) 2. 安全测试检查点 2.1网页安全检查点 2.1.1输入的数据没有进行有效的控制和验证 1)数据类型(字符串,整型,实数,等) 2)允许的字符集 3)最小和最大的长度 4)是否允许空输入 5)参数是否是必须的 6)重复是否允许 7)数值范围 8)特定的值(枚举型) 9)特定的模式(正则表达式)(注:建议尽量采用白名单) 2.1.2用户名和密码 1)检测接口程序连接登录时,是否需要输入相应的用户 2)是否设置密码最小长度(密码强度) 3)用户名和密码中是否可以有空格或回车? 4)是否允许密码和用户名一致 5)防恶意注册:可否用自动填表工具自动注册用户?(傲游等) 6)遗忘密码处理 7)有无缺省的超级用户?(admin等,关键字需屏蔽)