鞍山 中企动力提供网站建设,公司网站制作苏州,沂南网站开发,西安手机网页制作一、漏洞扫描 1.1 等保要求 要求:等保2.0《GB/7 36627-2018 信息安全技术 网络安全等级保护测试评估技术指南》中5.2.3 漏洞扫描章节 基本要求 入侵防御章节 1.2 要求内容 漏洞扫描的主要功能是针对主机和开放端口识别已知漏洞、提供建议降低漏洞风险;同时,有助于识别过时的软…一、漏洞扫描 1.1 等保要求 要求:等保2.0《GB/7 36627-2018 信息安全技术 网络安全等级保护测试评估技术指南》中5.2.3 漏洞扫描章节 基本要求 入侵防御章节
1.2 要求内容
漏洞扫描的主要功能是针对主机和开放端口识别已知漏洞、提供建议降低漏洞风险;同时,有助于识别过时的软件版本、缺失的补丁和错误配置,并验证其与机构安全策略的一致性。 进行漏洞扫描时,可考虑以下评估要素和评估原则: a) 识别漏洞相关信息,包含漏洞名称、类型、漏洞描述、风险等级、修复建议等内容; b) 通过工具识别结合人工分析的方式,对发现的漏洞进行关联分析,从而准确判断漏洞的风险等级; c) 漏洞扫描前,扫描设备应更新升级至最新的漏洞库,以确保能识别最新的漏洞; d) 依据漏洞扫描工具的漏洞分析原理(如特征库匹配、攻击探测等),谨慎选择扫描策略,防止引起测评对象故障; e) 使用漏洞扫描设备时应对扫描线程数、流量进行限制,以降低测评对测评对象产生的风险。
1.3用例CASE 编号 前提条件 步骤 预期 1 关闭防火墙 使用Nessus漏扫 无中高危以上漏洞 2 关闭防火墙 使用AppScan漏扫工具对URL产品漏扫 无中高危以上漏洞 3 关闭防火墙 使用AWVS工具对所有web服务漏洞扫描 无中高危以上漏洞二、基础安全
2.1 js代码安全
检查点:是否可以明文查看代码测试范围:前端所有js编码的产品测试方式:人工查看编号 标题 前提条件 步骤 预期 1 前端js代码混淆 无 通过登录主机进入应用的安装路径,查看前端是否有is代码。所有is代码是否已做混淆或加固 js代码做混淆或加固 2.2 XXE注入(XML外部实体注入)
检查点:XXE注入测试范围:使用XML传参的地方均有可能存在XXE注入;XXE检测URL:使用XML参数传递的URL,如:登录页面,搜索页面、提交评论、发表留言、页面等测试方式:一般这种漏洞在使用xml的地方(用awvs能够扫描出这些点),看到了SYSTEM这个参数就有的利用了,然后采用burp抓包,构造payload进行xml实体注入。我们这里直接用burp抓包,利用file读取文件目录;如果是root权限的话,就可以进一步读取shadows文件,数据库配置文件等等,利用价值比较大。普通权限的话我只能根据用户名来爆破ssh,ftp等等服务,或者查看能够读取的文件,进一步扩大渗透范围。编号 标题 步骤 预期 1 XXE注入-用户登录 修改xml参数如下: ?xml version="1.0"? !DOCTYPE r[ !ELEMENTrANY !ENTITY myentity system "file:///etc/passwd" ] rootnamesp,/namepasswordhj/password/root 无法入侵成功,外部引入xml代码不会被执行 1.不能执行外部实体xml代码。(也可以不存在提示信息,只要不暴露数据即可 ) 2.存在提示时提示信息无暴露表信息 说明:myentity通过SYSTEM参数来实体解析远程服务器中的etc/passwd文件,导致xml外部实体攻击
2.3 SQL注入
检查点:SQL注入测试范围:搜索查询文本框;带有参数传递的URL,如:登录页面,搜索页面、提交评论、发表留言、页面等测试方式:手工注入说明:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。编号 标题 步骤 预期 1 SQL注入文本框(搜索页面文本框) 'or 1=1-- 无法入侵成功,无数据库服务器信息报错 1.不能查询出所有数据。(也可以不存在提示信息,只要不暴露数据即可) 2.存在提示时提示信息无暴露表信息 2_(下划线) 无法入侵成功,无数据库服务器信息报错 1.不能查询出所有数据。(也可以不存在提示信息,只要不暴露数据即可 ) 2.存在提示时提示信息无暴露表信息 3and (select count(*) from sysobjects)0 无法入侵成功,无数据库服务器信息报错
