系统安全检测整理,请指点还欠缺哪些
我整理了一份系统安全测试的文件,没细整,比较乱。请大家指点还欠缺哪些,或如何分类更合理[*]运行环境
OS安全、系统补丁
服务器管理漏洞(OS安全机制、管理员密码、远程访问等)
病毒防护能力
网络安全(网络类型、防火墙配置)
机房设备的安全
[*]应用系统
系统登录(密码规则、复杂程度、大小写敏感、空密码检测、登录失败提示信息)
授权检测(注意信息的归属关系检测)
默认用户、过期用户、禁止用户、试用用户的认证和授权
用户访问区域限制
SQL注入
XSS漏洞
数据加密传输
敏感数据加密存储
服务器端数据合法性验证(客户端不可信、尤其是客户端正常操作不能修改的字段)
应用系统提供的目录列表、文件访问能力
上传接口数据上传的安全(篡改现有数据、上传木马、垃圾数据等)
大运算量模块的安全控制、恶意访问导致崩溃(类似拒绝服务)
操作日志(记录有效、日志保存、删除限制)
HTTPs协议、CA认证
[*]系统实施
应用服务器漏洞、补丁
应用服务器控制台的安全、管理员的口令安全
应用服务器中的示例应用安全性和屏蔽
应用的目录列表
敏感目录、文件访问安全(要考虑服务器集成的后果)
数据库服务器安全、对应用系统数据库用户的适当授权
[*]仿篡改防护
仿篡改系统安装、配置、检测
备份恢复
备份周期、备份数据存储(异地、安全保管)、可恢复能力。
[*]运营管理
检查提警(系统安全、资源利用情况的定期检查、预警提示)
人的因素,制定完善的安全运行管理制度、安全管理培训、社会学知识。
没有绝对和永久的安全,制定安全有效的安全防护方案,真正落实执行,并定期安全评估和改进。
[ 本帖最后由 uniwin 于 2008-9-4 11:15 编辑 ] "应用系统"中是否要有:
1. 应用系统所用的数据如(sql server,oracle安全,数据库用户权限分配是否合理\数据库是否做了访问控制),
2. 应用系统涉及到的应用服务如 iistomcatweblogic 等服务的安全设置;
3.系统运行环境的安全(网络安全);等~~~个人意见 我写的条理不是很清晰,有些内容可能需要细分,谢谢版主的意见,有想法后再修改 呵呵,相互学习~~,继续努力~~问下你们也做安全测试 也写几个吧,
机房的物理环境(布线、防火、水,防静电、温湿度等相关);
合理的网络拓扑结构;
操作系统不安全的服务;
备份策略(全备份、增量备份)
运营管理中定期安全演练
AIX等的安全配置
最后进行内网渗透检测
脑袋很晕,就想了这么几个了:) 原帖由 zqsdy 于 2008-9-5 01:04 发表 http://bbs.51testing.com/images/common/back.gif
机房的物理环境(布线、防火、水,防静电、温湿度等相关);
...
不错,很实用,尤其是"防静电",经常被电击中,呵呵呵呵 超级版主经常被电击中,是自身防静电安全性不够强大, 呵呵 彼此彼此
页:
[1]