创东云品牌 达客户愿景
国内互联网应用服务提供商

服务热线:4006-150-015   北京总机:010-56629163   天津总机:022-27958550

销售热线
4006-150-015
首页 网站建设 企业邮箱 办公OA 云画建站 域名注册 虚拟主机 VI设计 微信营销 关于我们
销售热线:010-56629163
服务热线:4006-150-015
销售邮箱:sales@insaas.com
客服邮箱:kf@insaas.com
质控邮箱:qc@insaas.com
新闻动态
当前位置:首页 > 关于我们 > 新闻动态

细说企业网站安全性测试

[2019-02-18]
安全测试最终并未证明应用程序是安全的,但用于验证已建立策略的有效性。这些策略是根据威胁分析阶段的假设选择的。可以从部署和基础架构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密实施完整的WEB安全测试。讨论了参数操作,异常管理,审计和日志记录。
网页安全性测试
通过扫描一些漏洞扫描工具,基本思想,最低服务+最新补丁+最严格的用户管理,网站脚本的安全性由程序员控制。我们总结了测试仪测试的要点,包括以下内容:
360网站安全检测

1.跨站点脚本攻击
通过脚本语言缺陷模拟合法用户,控制其帐户并窃取敏感数据
2.注射攻击
通过构造查询对数据库,LDAP和其他系统进行非法查询
3.恶意文件执行
在服务器上执行shell命令以获得控制权
4.伪造跨站点请求
发起盲请求,模拟合法用户,请求转移等。
5.不安全的对象引用
引入不安全的对象,访问敏感文件和资源,以及将敏感文件内容返回到WEB应用程序
6.销毁认证和会话管理
验证会话令牌防止会话被盗
7.会话的失败时限
会话的失败时间设置是否太长将导致访问风险
8.不安全的特洛伊木马存储
简单的加密技术导致黑客破解密码,窃取秘密信息并验证其数据加密。
9.不安全的沟通
敏感信息以不加密的方式在不安全的信道中传输。敏感信息被窃取以验证其通信的安全性。
10. URL访问限制失败
验证是否通过恶意方式访问未经授权的资源链接,强行访问某些登录页面并窃取敏感信息
11.信息披露和不正确的错误处理测试
通过攻击WEB站点的特定信息防止黑客获取详细系统信息的恶意系统检测
12.注册和登录测试
认证系统在登录前注册,验证登录用户名和密码匹配检查,密码长度和登录尝试次数,以防止非法用户登录
13.加班限制
验证WEB应用系统是否需要超过时间限制,当用户长时间不做任何事情时,需要重新登录才能使用它。
14.日志文件
验证服务器上的日志是否正常工作以及是否记录了所有事务
15.目录文件
验证WEB服务器目录访问权限或索引。 HTM为每个目录访问,防止WEB服务器不当处理并暴露整个WEB目录。
16.认证
验证呼叫者的身份,数据库的身份,服务帐户要求的清晰度以及强制性试用帐户管理措施
17.授权
验证如何授权最终用户,如何授权数据库中的应用程序以及确定对系统资源的访问权限
18.谈话
验证会话标识符的交换方式,会话生存期是否受限以及如何确保会话存储状态安全性
19.配置管理
验证是否支持远程管理,是否保证配置存储安全性以及是否隔离管理员权限
20.备份和恢复
为了防止意外系统崩溃导致数据丢失,验证备份和恢复功能的正常执行,备份和恢复方法是否满足Web系统的安全要求。
21.数据库密钥数据是否被加密和存储,以及敏感数据是否在网络中传输
22.登录或注册功能中是否存在认证码,以防止恶意群发登录攻击
23. Cookie文件是否已加密以防止cookie内容被盗
24.密码强度警报
建议加强密码规则。
25.密码内容禁止复制和粘贴



(该文源自网络,如有侵权,请与我司联系)

咨询热线
010-56629163
400 615 0015