漏洞扫描:appscan, burpsuite
渗透测试
符合性检查
源代码审查:Fortify
主机安全加固
windows
- 禁用Guest账户
禁用或删除其他无用账户
控制面板–管理工具–计算机管理 系统工具—本地用户和组—用户 - 密码策略
最短8字符,符合复杂性要求,账户口令留存期
杀毒软件,系统补丁
linux
禁用或删除无用账户
userdel xx
passwd -l xx 锁定
passwd -u xx 解锁
查看空口令和root权限
awk -F ‘($2=="")’ /etc/shadow 空口令
awk -F ‘($3=="")’ /etc/passwd uid为零的账户
身份鉴别
登录身份鉴别,至少使用2种组合及以上的方式
登录失败处理,联系登录失败锁定,错误提示不暴露身份标识与鉴别信息。
密码强度设置,网络种加密传输,不能明文存储在介质中
访问控制
横向越权,纵向越权
输入输出校验
SQL注入
XSS注入
文件上传
敏感信息泄漏
常见的敏感信息包括但不限于:密码,密钥,证书,会话标识,licence,隐私数据,授权凭证,个人数据,数据库或其他系统连接信息,业务模块识别的业务数据信息。
- 禁止在代码种存储敏感信息
- 尽量缩短明文的存在时间
- 禁止密钥或者密码,明文存储
- 禁止使用自己的加密算法,必须使用公开的安全标准加密算法。能用非对称加密的就用非对称,且加盐处理。
- 禁止在日志记录明文信息
- 禁止cookie种明文存储敏感信息
- 进程html隐藏域存放敏感信息
- 禁止敏感信息的web页面缓存
- 敏感信息post方法
- 禁止url中包含会话标识
- 禁止对用户保密的传送到客户端