安全评审常见的检查项目的Checklist清单

已于 2022-06-07 19:27:54 修改
阅读量1.4k 收藏 2
点赞数
文章标签: 安全 web安全 linux
于 2022-06-07 19:26:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45190065/article/details/125170150
版权
安全评审checklist
检查类别检查项目检查结果类别检查要求
网络

涉及接口调用

是否了解客户网络拓扑

网络安全
设备是否有网络安全设备

防火墙

IPS/IDS

堡垒机

网络安全准入控制

网闸

网络安全

硬件防火墙

IPS/IDS入(侵防御,入侵检测)

堡垒机(审计)

网络安全准入(网络访问权限管控)

网闸(数据摆渡)

产品

1.是否进行漏洞扫描

2.是否启用https

3.认证方式token认证或密码认证

4.数据传输和存储是否加密

应用安全

2.https(传输信道加密)

3.token认证/密码认证(认证鉴权)

4.数据加密

其他是否进行了安全加固系统安全要求配置系统安全加固

1、 各个节点的安全策略配置(IP+端口限制)

2、 数据传输严格采用加密方式

3、 接口调用采用https+token认证方式

4、 部署项目时,修复操作系统的已知漏洞和进行安全加固

5、 产品在上线后要做漏洞安全扫描

Lotus-1
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
需求评审CheckList
aaaassss602的博客
02-09 865
一、可行性分析 业务背景、价值 成本与收益 二、功能需求 是否有原型图/交互图 产品交互场景是否覆盖全,特别是修改、删除场景 关联依赖产品&页面是否受影响 历史数据怎么处理 异常情况的处理方案是否有考虑 校验规则是否提供 产品的改动是否会影响现有用户的使用 三、非功能性需求 测试需求:主要针对一些没有页面,甚至只提供简单接口,如何方便测试验证,基于此开发的工具。 兼容性 新老数据的兼容 上下游系统的兼容 数据初始化 性能 QPS峰值,日调用量 预估未来半年、一年相关指标 安全
安全加固-checklist
01-08
信息安全加固的checklist,从绿盟的基线拿出来的,当然有些是错误的、还有些不准确等等,作为参考还是不错的。
安全测试CheckList
专注企业信息安全-sec
12-27 817
权限系统 保证全部资源都使用HTTPS 登出之后销毁会话ID 密码重置后需要销毁所有活跃会话 使用httponly Cookies 密码找回等无需登录的场景下下达到用户认证字符串必须是该场景单独使用的,须确保无法在其他任何场景完成认证 敏感场景,如下但不限于:登录,注册,发表话题等,是否存在验证码,验证码强度是否足够,验证码接口是否安全,若无验证码,是否有频率限制或其他人机验证方式 ...
软件安全检查checklist
steelzhong的专栏
05-30 2256
代码安全性检验   程序代码安全性 C++/Java安全性列表(Checklist)  JavaScript安全性列表  代码安全性扫描工具必(AppScan)   Web安全性测试  动态跟踪元素属性  检测JavaScript事件   跨站脚本攻击(XSS)   跨站请求伪造攻击(CSRF)  拒绝服务攻击(DoS)  Cookie劫持  输入验证  浏览器安全
设计评审CheckList
aaaassss602的博客
02-09 1251
一、功能 功能基本流的完整度 设计逻辑合理度 变更的影响范围 兼容性 异常流的完整度 超时 熔断 失败处理 补偿机制 可测性及测试成本 重复造车轮 对外API 兼容性 多版本共存 二、性能 弹性伸缩 耗时长的操作 批量处理 异步处理 三、数据库 表设计 分库分表 定期归档 索引设计 旧表增加索引,需要对该表所有索引进行评估 大表的索引创建,要考虑执行时间 唯一约束:旧有字段需提前校验 字段设计 冗余字段:需考虑数据一致性 字段长度:冗余 字段类型:不同表的相同字段是
【应用安全安全测试checklist
Websec
03-20 1289
1、安全测试checklist 安全测试检查清单 项目名称 xxx 迭代名称 xxx 测试时间   测试人员   测试结果 1、本次测试发现xxx个安全漏洞 ,其中x个高危漏洞、x个中危漏洞,x个低危漏洞。 测试内容 序号 类别 测试项 测试描述 是否通过 1 认证鉴权 登录密码是否加密 检验密码字段在传输过程是否使用不可逆的hash算法 不通过、通过、不适用 2 是
checklist-going-live:项目上线时使用的清单
03-31
所有上线项目清单每当项目在时,都会使用此清单。支持我们 我们投入了大量资源来创建。 您可以通过来支持我们。 非常感谢您从家乡寄给我们一张明信片,其中提到您使用的是哪个包装。 您可以在上找到我们的地址。 ...
checklist:项目清单网络应用
05-18
清单 项目清单网络应用 要求 资料模型: 清单包含一组有序的检查。 使用seneca-card插件提供此结构。 这使您能够具有子清单。 拥有一张卡片作为核对... 创建新项目:创建一个没有检查清单的全新项目。 注意:不能在项
交易业务相关安全checklist.xlsx
04-06
主要是针对金融交易方面的业务安全做的一个checklist,不包括通常意义上的Web安全如:SQL注入等
API Security Checklist实现安全稳固的API接口对策清单-python
06-18
在设计,测试和发布API时最重要的安全对策的清单11
技术方案评审checklist-公共模板.xls
04-07
软件工程开发中经常会遇到阶段性的评审工作,因此需求阶段的技术方案评审模板仅供参考
账号安全检查表单-checklist.pdf
11-17
账号安全风险检查表单-checklist
代码评审CheckList
SPECIAL8654237的博客
10-24 282
此博客为笔者在工作中总结的代码评审检查单,适用于笔者的工作,大家可以参考
常用安全问题设计和开发一览
一杯咖啡的渗透记忆
10-30 918
输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等) 格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞), 建议如果可以禁止JVM执行外部命令,未知漏洞的危害会大大降低,可以大大提高JVM的安全性。...
测试用例的评审检查单(Checklist for Test cases)
bingjingfan的专栏
04-01 1649
<br />http://bbs.51testing.com/viewthread.php?tid=110793<br /><br />测试用例的评审检查单(Checklist for Test cases):<br />  1)Has the correct template been used?(是否使用了正确的模板?)<br />  2)Have all the scenarios specified in the requirement –explicit, implicit, nonfunctio
【测试质量】需求评审checklist
最新发布
smlie_A的博客
03-05 223
介绍了在面对需求的时候,需要从哪些方面考虑
日常工作检查表-----Check List
热门推荐
Java之旅
08-08 1万+
1.配置文件config.properties: 对dubbo的调用,是否正确的连接到了北京dubbo测试环境(192.168.211.231),有可能由于测试淘宝等问题,被改到了深圳dubbo环境(10.0.30.188),这样,数据库就连接到深圳库了... 2.C#引用Java WebService: 如果参数是简单类型的列表,则参数是不允许为空的,比如:@WebParam(name =
这份数据安全自查checklist请拿好,帮你补齐安全短板的妙招全在里面!
京东科技开发者
04-06 1064
2019年,数据库的安全问题已跃至 CSO的工作内容象限榜首。不难看出,对于企业而言,在云上构建纵深安全检测与防御体系,提升安全事件响应和处置效率,打造持续、动态的安全运营管理闭环已显得刻不容缓。2019年,数据库的安全问题已跃至CSO的工作内容象限榜首。不难看出,对于企业而言,在云上构建纵深安全检测与防御体系,提升安全事件响应和处置效率,打造持续、动态的安全运营管理闭环已显得刻不容缓。 根...
工作启动必备清单 checklist
xiaoliu_1的博客
11-28 408
1、shell ,Mac 一般可以安装iterm,然后可以使用 oh my zsh 更加炫酷,效率更高 2、VPN,一般公司都会有VPN , 阿里郎 , SEAL 等等 3、开发机器,DEVBOX, 譬如字节给每一个员工配置一个VM 开发机器 8core 16G ,有一些不适合运行在Linux上的环境相关的过程可以在开发机完成 4、集成开发环境, IDEA, GOLAND, CL ION 等, 个人比较喜欢 jetbrain 全家桶的东西 5、git 或者 mercurial 分布式版本管理工具,.
原理图checklist清单
05-01
原理图checklist清单是一种用于检查电路原理图及其设计的工具,旨在确保电路的正确性、可靠性和稳定性。这种清单通常包含一系列的检查项,包括但不限于以下内容: 1. 电池及电源的选型和连接方式是否正确。 2. 元器件是否选型正确,是否满足电路设计要求。 3. 元器件的位置是否安排合理,布局是否合理。 4. 电路的供电系统是否符合设计要求,保证电源电压稳定。 5. 电路的信号线路和信号处理是否符合设计要求,保证信号传输的正确性和稳定性。 6. 模拟电路的滤波器、放大器、比较器等电路是否正确设计。 7. 数字电路的时钟、计数器等是否符合设计要求,保证数据传输的准确性和稳定性。 8. 大功率元件及高压部分是否符合安装标准和安全要求。 9. 是否存在电流、电压过大的情况,是否存在短路、断路等情况。 10. 是否存在非法连接或接口,符号和标注是否正确明确,标准性是否满足要求。 通过使用这样的清单进行检查,可以有效地降低电路设计的错误率和故障率,提高电路设计的质量和可靠性。因此,在进行电路设计时,使用原理图checklist清单具有重要的作用和价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值