51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3506|回复: 3
打印 上一主题 下一主题

请教:在银行系统中经常要做哪些安全测试?

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2009-8-6 15:16:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
最近公司有个和银行系统相关的项目,请问:在银行系统中经常会做哪些安全测试?请了解的筒子们多多指教。最好能说得详细点。谢谢
另外,在安全测试版块里面潜伏了一段时间,大多数筒子们都是在讨论某些工具,如:appscan的使用,我很疑惑难道安全测试只能基于工具吗?这只是我的一点疑惑,说得不对之处请大家谅解
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
 楼主| 发表于 2009-8-7 10:41:27 | 只看该作者
高人在哪里?
回复 支持 反对

使用道具 举报

  • TA的每日心情
    奋斗
    2018-2-28 18:04
  • 签到天数: 40 天

    连续签到: 1 天

    [LV.5]测试团长

    3#
    发表于 2009-8-7 13:33:31 | 只看该作者
    这个问题,我不是很了解银行的情况,不过可以简单说点自己知道的,希望有同仁可以指教。

    一般情况下,对现有应用系统的漏洞扫描时必不可少的,比如使用AppScan这些三方的商业工具;实际上,安全工作需要划分多个层次进行保障
    1. 行政管理层面,严格的规章制度是安全管理的第一保障
    2. 从IT层面而言,需要考虑网络安全、数据信息安全、应用生产系统安全等
    3. 针对各不同的层面,引入各种规则、机制、工具和流程,并对现状进行检测

    安全性测试涉及的面太广,目前针对IT而言,就包含了网络安全,数据信息安全及应用生产系统安全和数据库安全等内容,甚至还包括了特定设备和硬件的安全检验。

    我们目前所讨论的安全仅限于应用安全。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    4#
    发表于 2009-8-11 01:31:18 | 只看该作者
    Web Server:结合网络技术直接对服务器进行渗透测试
    输入处理:如SQL Inject/XSS/系统命令注入/XPath注入等测试;
    访问处理:用户名密码猜解/证书处理等测试
    程序逻辑:cookie/隐藏字段/js控制

    burp suite 以前用过,并送一个例子
    实验7:网银系统xss渗透测试实验
    准备要加入的代码:<script>window.location="http://www.sina.com"</script>
    首先要对开发工具加密算法进行分析,再把代码作相应改写:
    %7E3Cscript%7E3Ewindow%7E2Elocation%7E3D%7E22http%7E3A%7E2F%7E2Fwww%7E2Esina%7E2Ecom%7E22%7E3C%7E2Fscript%7E3E
    准备完毕

    1.打开burp suite .设置代理。截取http请求。
    2.这里姓名里面存在xss漏洞。此前可以输入32位,可以直接在界面放<script>alert(1)</script>。
    后来开发人员改成16位,此漏洞仍然可以渗透。先输入一个合法的小于16位的长度的姓名(ffffffffffffffff)。

    3.点提交,在burp suite截取的内容如下。

    4.把fffffffffffff换成我们的上面构造的字符

    5.提交,查看用户姓名被改。

    用修改后的用户登录,实现了跳转。

    总结:虽然在姓名那里作了长度为16的客户端验证,但还是可以放入大于16位的可执行命令。
    此漏洞开发人员做过二次修复,没有很好的效果。最后采用键盘控制,这个问题得到解决
    希望有用!

    [ 本帖最后由 小米啊 于 2009-8-11 01:45 编辑 ]

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-23 02:28 , Processed in 0.079325 second(s), 28 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表