文章详细描述了按照GB25000.51-2016和Q/GDW1597-2015进行的安全性测评过程,强调了服务端鉴别信息、防重放机制、访问控制和管理员权限的重要性。同时提到了使用burp软件来实现禁止返回无关信息的策略。
我们出具报告,报告上是要体现安全性测评依据标准文件的。
这次出具的报告是按照GB 25000.51-2016标准,根据Q/GDW 1597-2015的测评项进行开展测评,根据10942-2018的具体测评方法进行编写报告
在标准文件中,有“安全漏洞” ,“外部接口”要求,但是在我们安全性测评培训中,不要求进行测评
说明:报告编号
机构简称+六位编号+检测类型+顺序号(两位)
样品编号
机构简称+六位编号+项目类型+检测类型+顺序号(三位)
对于安全性测试内容,不同于等保,我们是需要充分的依据来支撑我们的测评结果的,所以针对每一项,我们都要有截图放上去。
有几项比较难理解的测评项,说明一下
-
鉴别信息过程应在服务端进行完成,而不是在前端进行完成。
首先就是应该去看源代码,在看不到源代码的情况下,我们从侧面来验证,
比如是在浏览器中设置禁用JavaScript,来看下是否能够登录上去,如果可以,说明鉴别信息是在服务端进行完成校验的 -
密码复杂度
等保不区分大小写字母,就是字母、特殊字符、数字里至少两种。
而安全性测试中,是区分的,四种里面要有三种 -
系统具有防重放机制
如何验证,就是我第一次输入正确的用户名口令,抓取到hash值保存,第二次故意输错,得到hash值替换第一次的hash值,如果可以登录,就说明不具备防重放机制 -
服务端和客户端应具有双向机制
我们输入的用户名口令,是服务端验证客户端
我们访问系统,使用SSL证书,在网络层面就是客户端验证服务端 -
访问控制
这个里面就是涉及到管理员以及权限划分
- 系统管理员:用来对用户权限划分、系统模块配置
- 审计管理员:可以查询到所有的用户的登录日志、操作日志一块
- 业务配置员:仅对业务模块的流程、组织架构进行配置
- 业务操作员:使用这个系统的工作人员,无管理功能
- 业务管理员:对业务类人员进行权限划分
- 审核管理员:也是业务当中的一环,负责审核流程
敏感标记就是强制访问控制,大于访问策略,至于敏感标记这一块,还没有多少系统可以做的这么好。
- 禁止返回与业务无关的信息
这个通过burp软件来实现分析
好的,目前就是了解这么多,回见
2020
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
