软件安全测评常见问题清单

最新推荐文章于 2024-08-22 17:27:35 发布
最新推荐文章于 2024-08-22 17:27:35 发布
阅读量374 收藏 10
点赞数 9
分类专栏: 服务器运维 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lili1158/article/details/135237488
版权

本文结合数十项实际项目经验,列出项目经常出现测评问题。

1、CORS配置错误

问题:导致页面可跨域访问攻击者所构造的恶意链接,对应用造成安全风险。

处理方法:只允许特定域名访问

对nginx.conf文件中http下面增加
map $http_origin $allow_cors {
        default 1;
        "~http://10.0.0.1" http://10.0.0.1;
        "~*" 0;
}
 
在对应api转发的location 中增加(放在proxy_pass前)
add_header Access-Control-Allow-Origin $http_origin;
add_header Access-Control-Allow-Methods '*';
add_header Access-Control-Allow-Headers '*';
if ($allow_cors = 0){
return 403;
}

2、点击挟持

问题:攻击者通过内嵌frame包含本网站,显示诱导信息供用户点击。

处理方法:只允许同域名下frame内嵌

对nginx.conf文件中http下面增加

add_header X-Frame-Options SAMEORIGIN;

表示页面可以在相同域名页面中frame中展示。

3、短信验证码爆破

问题:短信验证码无错误次数限制

处理方法:

1.增加短信验证码错误次数限制,超过限制后,原验证码失效,错误次数推荐5
次以内
2.增加短信验证码失效机制,推荐失效时间在180秒以内

4、用户名枚举

问题:用户登录根据用户名或者密码错误提示,进行用户名或者密码爆破。

处理方法:统一提示用户名或密码错误。

5、弱口令

问题:用户登录弱口令问题

解决方法:

1、验证码登录
2、禁常见的弱密码.设置密码定期修改策略.

6、密码明文传输

问题:攻击者截取密码,产生盗用风险

处理方法:密码加密处理

小黑上街
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见安全指标.docx
05-09
常见的第三方软件测试安全指标,适用于信息化建设验收、电子政务项目验收、科技项目验收测试。可根据自身系统情况进行选择,详情可以联系沟通
软件评测师历年真题分享
02-16
2012年和2013年的题目可能更加侧重于软件安全测试,包括对SQL注入、XSS攻击等常见安全问题的识别和防范。 最后,2017年的软件评测师考试则可能引入了最新的行业动态和技术趋势。例如,云计算、大数据、物联网等新兴...
软件安全测试可以检测软件哪些安全问题
Adelineyoung8的博客
05-11 504
总之,软件安全测试可以检测到一系列重要的安全问题,包括身份验证漏洞、输入验证漏洞、会话管理漏洞、访问控制漏洞、跨站请求伪造漏洞、加密和密码学漏洞、安全更新漏洞以及日志和监控漏洞等。安全测试可以检测到安全更新漏洞,例如更新后的功能或修复的漏洞可能引入新的漏洞、更新后的配置可能不兼容等。安全测试可以检测到用户名和密码的脆弱性,例如简单的密码、可猜测的密码、密码重置漏洞等。安全测试可以检测到加密和密码学漏洞,例如弱加密算法、不安全的密码存储、加密传输漏洞等。日志和监控是跟踪软件应用程序的活动和事件的关键。
【网络安全】常见的网路安全设备及功能作用总结
Z4400840的博客
05-29 2766
常见的网路安全设备及功能作用总结一、 WAF 应用防火墙二、IDS 入侵检测系统:三、IPS 入侵防御系统(入侵检测+入侵防御)四、SOC 安全运营中心五、SIEM 信息安全和事件管理六、Vulnerability Scanner漏洞扫描器七、UTM 统一威胁管理八、DDOS防护九、FireWall 防火墙十、VPN 虚拟专用网络十一、 上网行为管理十二、 云安全技术/主机安全十三、 DBAudit 数据库审计参考WAF:Web应用防火墙 —应用层的攻击防护。
(五)安全测试基础:安全测试常见技术
gzytester的博客
03-09 1423
安全测试常见技术概述: 人工检查及复查 软件威胁建模 代码复查 渗透测试 人工检查及复查 概要 人工检查是安全测试过程中,通过人工检查或者审核的方式对应用开发过程中的人,策略和进程,包括技术决策如开发模型设计进行安全检测。人工检查通常采取文件分析或对设计师或系统的所有者进行访谈的方式进行。 虽然人工检查和人员访谈这个概念十分简单,但是它们确是最强大的和有效的可用技术。通过询问别人这件事如何运行,为什么采用当前的运行模式,能够帮助测试人员快速确定是否存在显而易见的安全问题。人工检查及复查是在软件
网络安全测评技术与标准
weixin_48579910的博客
07-06 1392
网络安全测评通过多种方法和工具对系统、网络和应用程序进行全面评估,以发现和修复潜在的安全漏洞,确保其符合安全标准和政策。结合渗透测试、漏洞扫描安全审计、风险评估、合规性测试、代码审查、社会工程测试、配置评估和基准测试等多种类型的测评,组织可以全面提升其网络安全防护能力,保护其信息资产和业务连续性。网络安全测评流程包括准备阶段、信息收集阶段、漏洞扫描阶段、渗透测试阶段、安全审计阶段、风险评估阶段、报告阶段、修复和验证阶段以及持续监控和改进阶段。
网络安全等级保护2.0所需设备清单常见问题详解
Galaxy_0的博客
01-02 3510
(一)物理和环境安全层面安全措施需求如下:1、防盗报警系统2、灭火设备和火灾自动报警系统3、水敏感检测仪及漏水检测报警系统4、精密空调5、备用发电机(二)网络和通信安全及设备和计算安全层面需要部署的安全产品如下:1、防火墙或者入侵防御系统2、上网行为管理系统3、网络准入系统4、审计平台或者统一监控平台(可满足主机、网络和应用层面的监控需求,在条件不允许的情况下,至少要使用数据库审计)5、防病毒软件(三)应用及数据安全层面需要部署的安全产品如下:1、VPN。
网络安全人士必备的30个安全工具_在网络安全方面,有哪些必备的安全软件和工具
2401_84618514的博客
07-13 1541
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!网络安全产业就像一个江湖,各色人等聚集。
软件测试工程师常见的面试题大全
TerroDemon的博客
12-07 8381
软件测试工程师常见的面试题大全
移动互联安全扩展要求测评
hakksjss的博客
07-10 1291
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
网络安全等级保护测评——主机安全(三级)详解
zz12345600354的博客
05-05 1119
最近去了项目组打杂,偷学了些对服务器做整改的等保要求,写下一篇废话,看完了就可以跟我一起打杂了。
软件安全知识优质资料.doc
11-30
\n\n六、软件安全常见问题处理\n\n介绍常见安全问题的解决方法,如如何修复漏洞、应对入侵事件、优化安全策略等。\n\n七、其他改进措施\n\n讨论持续改进软件安全性的工作方向,可能包括加强安全培训、引入安全开发...
软件评测机构名单.docx
05-21
软件评测机构名单.docx
软件测评师历年真题和答案.rar
10-18
软件测评师历年真题与答案解析》 在IT行业中,软件测评师是一个至关重要的角色。他们负责确保软件产品的质量,通过系统性的测试方法找出潜在问题,为用户提供稳定可靠的软件服务。本压缩包文件“软件测评师历年...
多进程和多线程基础概念LINUX
2301_79109608的博客
08-22 692
直接访问物理地址,会导致地址空间没有隔离,很容易导致数据被修改通过虚拟地址空间可以实现每个进程空间都是独立的,操作系统会映射到不用的物理地址区间,在访问时互不干扰.进程状态分为三个基本状态,即运行态,就绪态,阻塞态。在五态模型中,进程分为新建态、终止态,运行态,就绪态,阻塞态。并发:有限的 cpu 核芯的情况下 ,利用快速交替(时间片轮转)执行来达到宏观上的同时执行。虚拟地址 : 虚拟地址并不代表真实的内存空间,而是一个用于寻址的编号。并行:在 cpu 多核的支持下,实现物理上的同时执行。
仿Muduo库实现高并发服务器——Acceptor模块
2201_75324712的博客
08-22 266
Acceptor模块是为了创建套接字,并且接收新到来的客户端套接字,将对应套接字的Channel对象添加到Poller对象中,进行事件监控。
Windows Server查看W3SVC IIS服务器中对应的网站日志
滴水石穿
08-22 107
W3SVC1、W3SVC2、W3SVC3…基本上每个网站存放日志的文件夹名称都是以W3SVC开头,区别在于后面的ID/编号/序号,对应的是网站各自的ID。如果没有自定义站点的日志路径,日志默认的路径是C:\inetpub\logs\LogFiles\。W3SVC日志文件夹中序号的含义,格式就是W3SVC+网站ID。
香港服务器IIS网站怎么实现应用程序初始化和预加载
最新发布
JttiSEO的博客
08-22 265
在香港服务器上使用 IIS 来初始化和预加载网站应用程序,可以显著提高网站的响应速度和性能,尤其是在首次访问时。这里的 initializationPage="/" 表示预加载首页,你可以根据需要指定其他页面。在应用程序池设置中,确保 "启动模式"(Start Mode)为 AlwaysRunning。这样配置可以帮助你确保应用程序在用户首次访问前就已经启动,减少首次加载的延迟。在 IIS 中配置站点或应用程序池的 "预加载" 设置。在右侧操作面板中,点击 "高级设置"。勾选 "启用应用程序初始化"。
等保2.0常见问题深度解析
等保2.0问题集解析分享 等保(即信息安全等级保护)是中国的一项国家信息安全管理制度,旨在保障国家重要信息和公民数据的安全。等保2.0是该制度的一个重要发展阶段,其核心在于根据《中华人民共和国网络安全法》的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值