超级会员免费看
本文详细探讨了敏感信息泄漏在Web安全中的重要性,介绍了GB标准对此的要求,列举了多种测试内容和漏洞原理,包括操作系统、中间件、Web程序等的敏感信息类型。文中通过测试案例展示了敏感信息泄漏可能导致的风险,并提出了相应的加固建议,如避免明文存储敏感数据、禁止Cookie和隐藏域中的明文敏感信息等。
0x01 等保测评项
GBT 22239-2019《信息安全技术 网络安全等级保护基本要求》中,8.1.4.4安全计算环境—入侵防范项中要求包括:
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
b)应关闭不需要的系统服务、默认共享和高危端口;
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
敏感信息泄漏对应访问控制项中要求d),所以安全控制点为入侵防范d。
GBT 28448-2019《信息安全技术 网络安全等级保护测评要求》中,测评单元(L3-CES1-21)
该测评单元包括以下要求:
a)测评指标:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。;
b)测评对象:终端和服务器等设备中的操作系统(包括宿
订阅专栏 解锁全文
扫一扫
616
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
