|
|
我整理了一份系统安全测试的文件,没细整,比较乱。请大家指点还欠缺哪些,或如何分类更合理
OS安全、系统补丁
服务器管理漏洞(OS安全机制、管理员密码、远程访问等)
病毒防护能力
网络安全(网络类型、防火墙配置)
机房设备的安全
系统登录(密码规则、复杂程度、大小写敏感、空密码检测、登录失败提示信息)
授权检测(注意信息的归属关系检测)
默认用户、过期用户、禁止用户、试用用户的认证和授权
用户访问区域限制
SQL注入
XSS漏洞
数据加密传输
敏感数据加密存储
服务器端数据合法性验证(客户端不可信、尤其是客户端正常操作不能修改的字段)
应用系统提供的目录列表、文件访问能力
上传接口数据上传的安全(篡改现有数据、上传木马、垃圾数据等)
大运算量模块的安全控制、恶意访问导致崩溃(类似拒绝服务)
操作日志(记录有效、日志保存、删除限制)
HTTPs协议、CA认证
应用服务器漏洞、补丁
应用服务器控制台的安全、管理员的口令安全
应用服务器中的示例应用安全性和屏蔽
应用的目录列表
敏感目录、文件访问安全(要考虑服务器集成的后果)
数据库服务器安全、对应用系统数据库用户的适当授权
仿篡改系统安装、配置、检测
备份恢复
备份周期、备份数据存储(异地、安全保管)、可恢复能力。
检查提警(系统安全、资源利用情况的定期检查、预警提示)
人的因素,制定完善的安全运行管理制度、安全管理培训、社会学知识。
没有绝对和永久的安全,制定安全有效的安全防护方案,真正落实执行,并定期安全评估和改进。
[ 本帖最后由 uniwin 于 2008-9-4 11:15 编辑 ] |
|
/1 
关于我们
发表于 2008-9-4 11:04:46
置顶服务
换色服务
楼主
