安全性测试报告

文章详细描述了按照GB25000.51-2016和Q/GDW1597-2015进行的安全性测评过程,强调了服务端鉴别信息、防重放机制、访问控制和管理员权限的重要性。同时提到了使用burp软件来实现禁止返回无关信息的策略。
摘要由CSDN通过智能技术生成

我们出具报告,报告上是要体现安全性测评依据标准文件的。
这次出具的报告是按照GB 25000.51-2016标准,根据Q/GDW 1597-2015的测评项进行开展测评,根据10942-2018的具体测评方法进行编写报告

在标准文件中,有“安全漏洞” ,“外部接口”要求,但是在我们安全性测评培训中,不要求进行测评

说明:报告编号
机构简称+六位编号+检测类型+顺序号(两位)
样品编号
机构简称+六位编号+项目类型+检测类型+顺序号(三位)

对于安全性测试内容,不同于等保,我们是需要充分的依据来支撑我们的测评结果的,所以针对每一项,我们都要有截图放上去。
有几项比较难理解的测评项,说明一下

  1. 鉴别信息过程应在服务端进行完成,而不是在前端进行完成。
    首先就是应该去看源代码,在看不到源代码的情况下,我们从侧面来验证,
    比如是在浏览器中设置禁用JavaScript,来看下是否能够登录上去,如果可以,说明鉴别信息是在服务端进行完成校验的

  2. 密码复杂度
    等保不区分大小写字母,就是字母、特殊字符、数字里至少两种。
    而安全性测试中,是区分的,四种里面要有三种

  3. 系统具有防重放机制
    如何验证,就是我第一次输入正确的用户名口令,抓取到hash值保存,第二次故意输错,得到hash值替换第一次的hash值,如果可以登录,就说明不具备防重放机制

  4. 服务端和客户端应具有双向机制
    我们输入的用户名口令,是服务端验证客户端
    我们访问系统,使用SSL证书,在网络层面就是客户端验证服务端

  5. 访问控制
    这个里面就是涉及到管理员以及权限划分

  • 系统管理员:用来对用户权限划分、系统模块配置
  • 审计管理员:可以查询到所有的用户的登录日志、操作日志一块
  • 业务配置员:仅对业务模块的流程、组织架构进行配置
  • 业务操作员:使用这个系统的工作人员,无管理功能
  • 业务管理员:对业务类人员进行权限划分
  • 审核管理员:也是业务当中的一环,负责审核流程

敏感标记就是强制访问控制,大于访问策略,至于敏感标记这一块,还没有多少系统可以做的这么好。

  1. 禁止返回与业务无关的信息
    这个通过burp软件来实现分析

好的,目前就是了解这么多,回见

  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值