针对**财务公司的消费信贷系统、电子商业汇票 、网上审批、网上支付、建行Winbridge、MBP银企平台、工行NC、建行外联平台、征信报送业务系统,一航网络软件测评中心针对用户需求,对**集团财务公司核心应用系统进行了漏洞扫描和渗透测试等非破坏性安全测试。
一、测试方法
本次渗透测试的测试方法和内容将包括:
1、应用系统相关信息收集与分析
2、口令强度测试
3、远程溢出攻击测试
4、本地权限提升测试
5、逻辑验证攻击测试
6、SQL注入攻击测试
7、XSS跨站脚本攻击测试
8、Cookies欺骗攻击测试
9、网络数据传输安全性测试
二、风险控制措施
本次安全测试由于采用可控制的、非破坏性质的安全测试,因此不会对财务公司业务造成严重的影响。在安全测试结束后,系统将保持正常运行状态。同时采取以下手段保证安全测试对系统的影响最小化:
1、在安全测试进行之前对系统稳定性进行测试。
2、避免采用大规模探测或DOS攻击方式进行测试。
3、在安全测试结束之后对系统进行测试,验证系统可稳定进行。
4、不采取有损伤性的测试手段和方法。
5、采用空闲时间段,避免了高峰时期的事故影响。
三、测试结果
经过对几个核心应用系统的渗透测试进行的全面检测和分析,安全状况不容乐观,系统存在严重的漏洞和安全隐患.....。
四、安全建议
基于本次应用评估的结果,经一航网络安全项目小组讨论,建议如下:
1、思考是否变更网站安全的管理模式,加强网站安全管理。
2、强化统一的安全组织结构,明确全员的安全策略,建立起安全文化。
3、所有系统均应考虑目前互联网上最普遍的XSS攻击和SQL注入攻击,对用户提交的数据合法性进行过滤,并制定安全开发手册规范安全开发流程。
4、建立统一的安全体系,做到可评估、可测量、可控制并持续改进。
5、定期检测网站、数据库是否存在安全缺陷、恶意代码。
五、安全建议
1、 过滤或转换用户提交数据中的HTML代码,如特殊符号"<>:|'等特殊符号
2、 限制用户提交数据的长度
3、禁止调用远程页面,建议使用数字参数来调用内部页面
4、上传文件校验文件的内容是否为图片,并且图片内容无脚本代码。
一航网络软件测评中心,是一家[ 全具备CMA资质 ]的第三方软件测评服务机构,具有检验检测机构资质认定(CMA)证书资质,具备为企业提供软件测试、功能测试的服务能力,出具的软件测试报告(包括软件登记测试报告、科技项目验收测试报告、科技成果鉴定测试报告、性能测试报告、确认测试报告等)均可全国通用。
为了减少您的人力和物力成本,我们可以为您提供上门测试、远程测试服务。
服务区域:[ 全国范围 ]
服务热线:[ 400-850-9950 ]