安全測試
電力資訊系統、航空航天、交通運輸、銀行金融、地圖繪畫、政府官網等系統再正式上線前需要做安全測試。避免造成資料洩露進而引起的各種嚴重問題。
那麼系統上線前需要做哪些測試内容呢?下面由我給大家介紹
1、安全機制檢測-應用安全
身份鑒别 | 登入控制子產品 | 應提供專用的登入控制子產品對登入使用者進行身份辨別和鑒别 |
鑒别資訊複雜度 | 應提供使用者身份辨別唯一和鑒别資訊複雜度檢查功能,保證應用系統中不存在重複使用者身份辨別,身份鑒别資訊不易被冒用 | |
登入失敗處理 | 應提供登入失敗處理功能,可采取結束會話、限制非法登入次數和自動退出等措施 | |
安全政策配置參數 | 應啟用身份鑒别、 使用者身份辨別唯一性檢查、使用者身份鑒别資訊複雜度檢查以及登入失敗處理功能,并根據安全政策配置相關參數 | |
通路控制 | 通路控制政策 | 應提供通路控制功能, 依據安全政策控制使用者對檔案、資料庫表等客體的通路 |
通路控制範圍 | 通路控制的覆寫範圍應包括與資源通路相關的主體、客體及它們之間的操作 | |
授權主體配置 | 應由授權主體配置通路控制政策,并嚴格限制預設帳戶的通路權限 | |
最小權限 | 應授予不同帳戶為完成各自承擔任務所需的最小權限,并在它們之間形成互相制約的關系 | |
安全審計 | 安全審計覆寫範圍 | 應提供覆寫到每個使用者的安全審計功能,對應用系統重要安全事件進行審計 |
審計記錄保護 | 應保證無法删除、修改或覆寫審計記錄 | |
審計内容 | 審計記錄的内容至少應包括事件日期、時間、發起者資訊、類型、描述和結果等 | |
通信完整性 | 通信完整性 | 應采用校驗碼技術保證通信過程中資料的完整性 |
通信保密性 | 會話初始化 | 在通信雙方建立連接配接之前,應用系統應利用密碼技術進行會話初始化驗證 |
敏感資訊加密 | 應對通信過程中的敏感資訊字段進行加密 | |
軟體容錯 | 資料有效性校驗 | 保證通過人機接口輸入或通過通信接口輸入的資料格式或長度符合系統設定要求 |
故障恢複 | 在故障發生時,應用系統應能夠繼續提供一部分功能,確定能夠實施必要的措施 | |
資源控制 | 自動結束會話 | 當通信雙方中的一方在一段時間内未作任何響應,另一方應能夠自動結束會話 |
會話連接配接數 | 應能夠對應用系統的最大并發會話連接配接數進行限制 | |
多重并發限制 | 應能夠對單個帳戶的多重并發會話進行限制 |
2、漏洞掃描
漏洞掃描通過 Ping 掃描、端口掃描、OS 探測、脆弱點探測、防火牆掃描五種主要技術,每種技術實作的目标和運用的原理各不相同。Ping 掃描确定目标主機的 IP 位址,端口掃描探測目标主機所開放的端口,然後基于端口掃描的結果,進行 OS 探測和脆弱點掃描。
漏洞掃描主要覆寫以下漏洞:遠端和本地輸入驗證錯誤;遠端和本地代碼注入漏洞;跨站腳本攻擊(XSS);跨站請求僞造(CSRF);不安全的直接對象引用;錯誤的認證和會話管理;安全配置錯誤;代碼問題安全漏洞;檔案包含漏洞;檔案上傳漏洞;業務邏輯漏洞;其他的注入問題(LDAP注入、PHP注入、MySQL注入等);其他通用弱點(如上傳漏洞、路徑周遊等)。
3、代碼審計
代碼審計是針對系統開發的源代碼進行安全性檢查,通過工具掃描件加人工驗證的形式是從代碼層面審計發掘,系統在開發的過程中,代碼邏輯是否合理,是否存在後門等漏洞。
源代碼靜态分析是一種在不運作程式的情況下分析程式代碼的方法,目的是檢測代碼中的潛在問題,如安全漏洞、性能問題、代碼品質問題等。以下是一些常用的源代碼靜态分析方法:
- 詞法分析:将源代碼分解成一個個單詞或标記,以便後續分析。
- 文法分析:将源代碼轉換為抽象文法樹,以便後續分析。
- 資料流分析:分析程式中的變量和函數調用,以确定變量的生命周期和值的變化情況。
- 控制流分析:分析程式中的控制流語句,以确定程式的執行路徑。
- 符号執行:在執行程式的同時跟蹤變量值,以确定程式的執行路徑和結果。
- 路徑敏感分析:分析程式中的每一條執行路徑,以确定程式在不同路徑下的行為。
- 模型檢查:通過建立程式的形式化模型,自動驗證模型是否滿足安全性和正确性等屬性。
源代碼靜态分析工具可以根據程式設計語言的特定規則和标準進行開發,以識别潛在的問題和漏洞,并提供修複建議。
4、滲透測試
滲透測試是一種授權模拟攻擊,旨在對其安全性進行評估,目的是證明網絡防禦按照預期計劃正常運作而提供的一種機制。它是一種安全評估方法,通過對目标系統進行模拟攻擊,發現系統可能存在的漏洞、弱點及其它安全問題,進而評估系統的安全性能。
滲透測試是為了證明網絡防禦按照預期計劃正常運作而提供的一種機制,具體流程階段如下:
-
前期互動階段。
該階段通常是用來确定滲透測試的範圍和目标。
-
情報收集階段。
該階段需要采用各種方法來收集目标主機的資訊。
-
威脅模組化階段。
該階段主要是使用資訊搜集階段所獲得的資訊,來辨別目标系統有存在可能存在的安全漏洞與弱點的方法之一。
-
漏洞分析階段。
該階段将綜合從前面幾個環節中擷取到的資訊,從中分析了解那些攻擊和用途徑是可行的,特别是需要重點分析端口和漏掃描結果,截獲到服務的重要資訊,以及在資訊收集環節中得到其他關鍵性的位置資訊。
-
滲透攻擊階段。
該階段可能是存在滲透測試過程中最吸引人的地方,然後在這種情況下,往往沒有使用者所預想的那麼一帆風順,而是曲徑通幽,在攻擊目标系統主機時,一定要清晰的了解在目标系統存在這個漏洞,否則,根本無法啟動攻擊成功的步驟。
-
後滲透測試階段。
該階段在任何一次滲透過程中都是一個關鍵環節,該階段将以特定的業務系統作為目标,識别出關鍵的基礎設施,并尋找客戶組織罪具有價值和嘗試進行安全保護的資訊和資産。
-
滲透測試報告。
報告是滲透測試過程中最重要的因素,使用該報告文檔可以交流滲透測試過程中國做了什麼,如何做的以及最為重要的安全漏洞和弱點。
軟體測評報告請聯系王經理18684048962,更多資訊請關注公衆号:軟體測評閑聊站