请教：在银行系统中经常要做哪些安全测试？

babyfeir

最近公司有个和银行系统相关的项目，请问：在银行系统中经常会做哪些安全测试？请了解的筒子们多多指教。最好能说得详细点。谢谢
另外，在安全测试版块里面潜伏了一段时间，大多数筒子们都是在讨论某些工具，如：appscan的使用，我很疑惑难道安全测试只能基于工具吗？这只是我的一点疑惑，说得不对之处请大家谅解

babyfeir

高人在哪里?

archonwang

这个问题，我不是很了解银行的情况，不过可以简单说点自己知道的，希望有同仁可以指教。

一般情况下，对现有应用系统的漏洞扫描时必不可少的，比如使用AppScan这些三方的商业工具；实际上，安全工作需要划分多个层次进行保障
1. 行政管理层面，严格的规章制度是安全管理的第一保障
2. 从IT层面而言，需要考虑网络安全、数据信息安全、应用生产系统安全等
3. 针对各不同的层面，引入各种规则、机制、工具和流程，并对现状进行检测

安全性测试涉及的面太广，目前针对IT而言，就包含了网络安全，数据信息安全及应用生产系统安全和数据库安全等内容，甚至还包括了特定设备和硬件的安全检验。

我们目前所讨论的安全仅限于应用安全。

小米啊

Web　Server：结合网络技术直接对服务器进行渗透测试
输入处理:如SQL Inject/XSS/系统命令注入/XPath注入等测试;
访问处理:用户名密码猜解/证书处理等测试
程序逻辑:cookie/隐藏字段/js控制

burp suite 以前用过，并送一个例子
实验7:网银系统xss渗透测试实验
准备要加入的代码：<script>window.location="http://www.sina.com"</script>
首先要对开发工具加密算法进行分析，再把代码作相应改写:
%7E3Cscript%7E3Ewindow%7E2Elocation%7E3D%7E22http%7E3A%7E2F%7E2Fwww%7E2Esina%7E2Ecom%7E22%7E3C%7E2Fscript%7E3E
准备完毕

1.打开burp suite .设置代理。截取http请求。
2.这里姓名里面存在xss漏洞。此前可以输入32位，可以直接在界面放<script>alert(1)</script>。
后来开发人员改成16位，此漏洞仍然可以渗透。先输入一个合法的小于16位的长度的姓名(ffffffffffffffff)。

3.点提交,在burp suite截取的内容如下。

4.把fffffffffffff换成我们的上面构造的字符

5.提交，查看用户姓名被改。

用修改后的用户登录，实现了跳转。

总结：虽然在姓名那里作了长度为16的客户端验证，但还是可以放入大于16位的可执行命令。
此漏洞开发人员做过二次修复，没有很好的效果。最后采用键盘控制，这个问题得到解决
希望有用！

[ 本帖最后由 小米啊 于 2009-8-11 01:45 编辑 ]