通信矩阵不全:操作系统服务、数据库服务、应用的随机端口
用户清单不全:应用账号不全,
OS
、
DB
的账号最易被忽略
未公开接口:存在资料中未公开的工具,可对应用服务进行控制的工具等。
可被绕过的安全认证:越权访问,访问控制方案不严导致的问题。
敏感信息存储:日志中记录明文口令(之前的
EAM
、配置都出现过日志明文的问题),加密算法不符合要求。
敏感数据传输:不安全的通道传输,或采用明文传输敏感信息。例如:
I2000
采用
http
方式传明文的口令、
iTrace
跟踪消息参数用明文传输。
安全日志记录:容易出现安全日志记录不全情况。
Web
安全漏洞:
SQL
注入、跨站漏洞、越权等
数据库
/
操作系补丁未更新:安全补丁未及时更新。
第三方库漏洞:例如
ssl
第三方库等。