Web应用安全基线要点

Web应用安全配置基线

备注：

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录

第1章概述 (5)

1.1目的 (5)

1.2适用范围 (5)

1.3适用版本 (5)

1.4实施 (5)

1.5例外条款 (5)

第2章身份与访问控制 (6)

2.1账户锁定策略 (6)

2.2登录用图片验证码 (6)

2.3口令传输 (6)

2.4保存登录功能 (7)

2.5纵向访问控制 (7)

2.6横向访问控制 (7)

2.7敏感资源的访问 (8)

第3章会话管理 (9)

3.1会话超时 (9)

3.2会话终止 (9)

3.3会话标识 (9)

3.4会话标识复用 (10)

第4章代码质量 (11)

4.1防范跨站脚本攻击 (11)

4.2防范SQL注入攻击 (11)

4.3防止路径遍历攻击 (11)

4.4防止命令注入攻击 (12)

4.5防止其他常见的注入攻击 (12)

4.6防止下载敏感资源文件 (13)

4.7防止上传后门脚本 (13)

4.8保证多线程安全 (13)

4.9保证释放资源 (14)

第5章内容管理 (15)

5.1加密存储敏感信息 (15)

5.2避免泄露敏感技术细节 (15)

第6章防钓鱼与防垃圾邮件 (16)

6.1防钓鱼 (16)

6.2防垃圾邮件 (16)

第7章密码算法 (17)

7.1安全算法 (17)

7.2密钥管理 (17)

第8章评审与修订 (18)

第1章概述

1.1 目的

本文档旨在指导系统管理人员进行Web应用安全基线检查。

1.2 适用范围

本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。

1.3 适用版本

基于B/S架构的Web应用

1.4 实施

1.5 例外条款

第2章身份与访问控制2.1 账户锁定策略

2.2 登录用图片验证码

2.3 口令传输

2.4 保存登录功能

2.5 纵向访问控制

2.6 横向访问控制

2.7 敏感资源的访问

第3章会话管理3.1 会话超时

3.2 会话终止

3.3 会话标识

3.4 会话标识复用

第4章代码质量4.1 防范跨站脚本攻击

4.2 防范SQL注入攻击

4.3 防止路径遍历攻击

4.4 防止命令注入攻击

4.5 防止其他常见的注入攻击

4.6 防止下载敏感资源文件

4.7 防止上传后门脚本

4.8 保证多线程安全

4.9 保证释放资源

第5章内容管理

5.1 加密存储敏感信息

5.2 避免泄露敏感技术细节

第6章防钓鱼与防垃圾邮件6.1 防钓鱼

6.2 防垃圾邮件

第7章密码算法7.1 安全算法

7.2 密钥管理

第8章评审与修订

WEB软件测试总结报告

XXX项目测试总结报告 目录 1.项目测试结果 (2) 1.1 BUG严重程度 (2) 1.2 BUG问题分布状况 (3) 2.测试结论 (4) 2.1界面测试 (4) 2.2功能测试 (4) 2.3兼容性测试(Windows下) (4) 2.4易用性 (4) 2.5 负载/压力测试 (5) 3.软件问题总结与分析 (6) 4.建议 (7)

1.项目测试结果 1.1 BUG严重程度 测试发现的bug主要集中在次要功能和轻微，属于一般性的缺陷，但测试的时候出现了37个主逻辑级别的bug,以及严重级别的2个.

1.2 BUG问题分布状况 由上图可以看出，主要为代码错误占36%,以及标准规范的问题占35%,界面优化占17%,设计缺陷占9%,其他占2%

2.测试结论 2.1界面测试 网站系统实现与设计稿一致。站点的导航条位置，导航的内容布局，首页呈现的样式与需求一致。网站的界面符合标准和规范，直观性强。 2.2功能测试 分不同账号总权限账号,以及店长账号分别进行功能测试。 1:链接测试无问题,不存在死链接,测试链接都存在. 2:对页面各个不同数据的测试,主要的出入库,销售报表,订单查看管理等一一对应,不存在数据有误差的问题. 2.3兼容性测试(Wind ows下) 测试总的浏览器包括:360极速浏览器,火狐浏览器,谷歌浏览器,IE浏览器,测试通过,主要逻辑以及次要功能都没问题,因为浏览器的不同,导致界面浏览不一定相同,例如有的界面浏览页面显示正常,有的界面显示不一样 。 2.4易用性 网站实现了如下易用性： 1. 输入限制的正确性 2. 输入限制提示信息的正确性，可理解性，一致性 3. 界面排版美观 4. web应用系统易于导航，直观 5. web应用系统的页面结构、导航、菜单、连接的风格一致

Linux安全配置基线.doc

中国移动集团管理信息系统部安全加固项目 Linux系统安全配置基线 中国移动集团公司第1页共15页 备注：中国移动集团管理信息系统部安全加固项目 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

中国移动集团公司第2页共15页版本版本控制信息更新日期更新人审批人V1.0创建2009年1月

中国移动集团管理信息系统部安全加固项目 目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

Web应用安全测试的解决方案.doc

1Web安全测试技术方案 1.1测试的目标 ●更好的发现当前系统存在的可能的安全隐患，避免发生危害性的安全事件 ●更好的为今后系统建设提供指导和有价值的意见及建议 1.2测试的范围 本期测试服务范围包含如下各个系统： ●Web系统： 1.3测试的内容 1.3.1WEB应用 针对网站及WEB系统的安全测试，我们将进行以下方面的测试： ?Web 服务器安全漏洞 ?Web 服务器错误配置 ?SQL 注入 ?XSS（跨站脚本） ?CRLF 注入 ?目录遍历 ?文件包含 ?输入验证 ?认证 ?逻辑错误 ?Google Hacking ?密码保护区域猜测 ?字典攻击 ?特定的错误页面检测 ?脆弱权限的目录 ?危险的 HTTP 方法（如：PUT、DELETE） 1.4测试的流程 方案制定部分：

获取到客户的书面授权许可后，才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流，并得到客户的认同。 在测试实施之前，让客户对安全测试过程和风险知晓，使随后的正式测试流程都在客户的控制下。 信息收集部分： 这包括：操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具（AWVS、burpsuite、Nmap等）进行收集。 测试实施部分： 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web应用），此阶段如果成功的话，可能获得普通权限。 安全测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普通权限提升为管理员权限，获得对系统的完全控制权。此过程将循环进行，直到测试完成。最后由安全测试人员清除中间数据。 分析报告输出： 安全测试人员根据测试的过程结果编写直观的安全测试服务报告。内容包括：具体的操作步骤描述；响应分析以及最后的安全修复建议。 下图是更为详细的步骤拆分示意图：

最受欢迎的十大WEB应用安全评估系统

最受欢迎的十大WEB应用安全评估系统 在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名，但是很可惜，绝大多数都是国外人搞的，界面是英文，操作也不方便，那游侠就在这里综合下，列举下国内WEB安全评估人员常用的一些工具。当然，毫无疑问的，几乎都是商业软件，并且为了描述更准确，游侠尽量摘取其官方网站的说明： 1.IBM Rational AppScan IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具，曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化Web 应用的安全漏洞评估工作，能扫描和检测所有常见的Web 应用安全漏洞，例如SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）及缓冲溢出（buffer overflow）等方面安全漏洞的扫描。 游侠标注：AppScan不但可以对WEB进行安全评估，更重要的是导出的报表相当实用，也是国外产品中唯一可以导出中文报告的产品，并且可以生成各种法规遵从报告，如ISO 27001、OWASP 2007等。 2.HP WebInspect

目前，许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术，HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。 它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术，例如同步扫描和审核（simultaneous crawl and audit, SCA）及并发应用程序扫描，您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。 主要功能： ·利用创新的评估技术检查Web 服务及Web 应用程序的安全 ·自动执行Web 应用程序安全测试和评估 ·在整个生命周期中执行应用程序安全测试和协作 ·通过最先进的用户界面轻松运行交互式扫描 ·满足法律和规章符合性要求 ·利用高级工具（HP Security Toolkit）执行渗透测试 ·配置以支持任何Web 应用程序环境 游侠标注：毫无疑问的，WebInspect的扫描速度相当让人满意。 3.Acunetix Web Vulnerability Scanner

web项目测试实战性能测试结果分析样章报告

5.4.2测试结果分析 LoadRunner性能测试结果分析是个复杂的过程，通常可以从结果摘要、并发数、平均事务响应时间、每秒点击数、业务成功率、系统资源、网页细分图、Web服务器资源、数据库服务器资源等几个方面分析，如图5- 1所示。性能测试结果分析的一个重要的原则是以性能测试的需求指标为导向。我们回顾一下本次性能测试的目的，正如错误！未找到引用源。所列的指标，本次测试的要求是验证在30分钟内完成2000次用户登录系统，然后进行考勤业务，最后退出，在业务操作过程中页面的响应时间不超过3秒，并且服务器的CPU 使用率、内存使用率分别不超过75%、70%，那么按照所示的流程，我们开始分析，看看本次测试是否达到了预期的性能指标，其中又有哪些性能隐患，该如何解决。 图5- 1性能测试结果分析流程图 结果摘要 LoadRunner进行场景测试结果收集后，首先显示的该结果的一个摘要信息，如图5- 2所示。概要中列出了场景执行情况、“Statistics Summary（统计信息摘要）”、“Transaction Summary（事务摘要）”以及“HTTP Responses Summary（HTTP响应摘要）”等。以简要的信息列出本次测试结果。 图5- 2性能测试结果摘要图

场景执行情况 该部分给出了本次测试场景的名称、结果存放路径及场景的持续时间，如图5- 3所示。从该图我们知道，本次测试从15:58:40开始，到16:29:42结束，共历时31分2秒。与我们场景执行计划中设计的时间基本吻合。 图5- 3场景执行情况描述图 Statistics Summary（统计信息摘要） 该部分给出了场景执行结束后并发数、总吞吐量、平均每秒吞吐量、总请求数、平均每秒请求数的统计值，如图5- 4所示。从该图我们得知，本次测试运行的最大并发数为7，总吞吐量为842,037,409字节，平均每秒的吞吐量为451,979字节，总的请求数为211,974，平均每秒的请求为113.781，对于吞吐量，单位时间内吞吐量越大，说明服务器的处理能越好，而请求数仅表示客户端向服务器发出的请求数，与吞吐量一般是成正比关系。 图5- 4统计信息摘要图 Transaction Summary（事务摘要） 该部分给出了场景执行结束后相关Action的平均响应时间、通过率等情况，如图5- 5所示。从该图我们得到每个Action的平均响应时间与业务成功率。

WEB安全测试

Web安全测试——手工安全测试方法及修改建议 发表于：2017-7-17 11:47 ?作者：liqingxin ? 来源：51Testing软件测试网采编 字体：???|??|??|??|?|?推荐标签：??? 常见问题 (CrossSite Script)跨站脚本攻击 (CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web 里面的html 代码会被执行，从而达到恶意用户的特殊目的。 方法：? 在数据输入界面，添加输入：，添加成功如果弹出对话框，表明此处存在一个XSS?。 或把url请求中参数改为，如果页面弹出对话框，表明此处存在一个XSS 漏洞 修改建议： 过滤掉用户输入中的危险字符。对输入数据进行客户端和程序级的校验（如通过正则表达式等）。 Eg:对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤 与跨站脚本(XSS) CSRF与跨站脚本(XSS)，是指请求迫使某个登录的向易受攻击的Web应用发送一个请求，然后以受害者的名义，为入侵者的利益进行所选择的行动。 测试方法： 同个浏览器打开两个页面，一个页面权限失效后，另一个页面是否可操作成功使用工具发送请求，在http请求头中不加入referer字段，检验返回消息的应答，应该重新定位到错误界面或者登陆界面。 修改建议： 在不同的会话中两次发送同一请求并且收到相同的响应。这显示没有任何参数是动态的（会话标识仅在cookie 中发送），因此应用程序易受到此问题攻击。因此解决的方法为 Hashing(所有表单都包含同一个伪随机值)： 2. ?验证码 ‐Time Tokens(不同的表单包含一个不同的伪随机值)客户端保护措施：应用防止CSRF攻击的工具或插件。 3.注入测试

Microsoft SQL Server安全配置基线

Microsoft SQL Server数据库系 统安全配置基线 中国移动通信公司管理信息系统部 2012年 4月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (5) 2.1口令安全 (5) 2.1.1删除不必要的帐号* (5) 2.1.2SQLServer用户口令安全 (5) 2.1.3根据用户分配帐号避免帐号共享* (6) 2.1.4分配数据库用户所需的最小权限* (6) 2.1.5网络访问限制* (7) 第3章日志 (8) 3.1日志审计 (8) 3.1.1SQLServer登录审计* (8) 3.1.2SQLServer安全事件审计* (8) 第4章其他 (10) 4.1安全策略 (10) 4.1.1通讯协议安全策略* (10) 4.2更新补丁 (10) 4.2.1补丁要求* (10) 4.3存储保护 (11) 4.3.1停用不必要存储过程* (11) 第5章评审与修订 (13)

第1章概述 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。 1.2 适用版本 SQL Server系列数据库。 1.3 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.4 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

WEB安全测试要考虑的10个测试点

WEB安全测试要考虑的10个测试点本文主要论述了WEB安全测试要考虑的10个测试点： 1、问题：没有被验证的输入 测试方法： 数据类型（字符串，整型，实数，等） 允许的字符集 最小和最大的长度 是否允许空输入 参数是否是必须的 重复是否允许 数值范围 特定的值（枚举型） 特定的模式（正则表达式） 2、问题：有问题的访问控制 测试方法： 主要用于需要验证用户身份以及权限的页面，复制该页面的url地址，关闭该页面以后，查看是否可以直接进入该复制好的地址 例：从一个页面链到另一个页面的间隙可以看到URL地址 直接输入该地址，可以看到自己没有权限的页面信息， 3、错误的认证和会话管理 例：对Grid、Label、Tree view类的输入框未作验证，输入的内容会按照html语法解析出来 4、缓冲区溢出 没有加密关键数据 例：view－source：http地址可以查看源代码 在页面输入密码，页面显示的是*****, 右键，查看源文件就可以看见刚才输入的密码。 5、拒绝服务

分析：攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序，最终使程序陷入瘫痪。需要做负载均衡来对付。 6、不安全的配置管理 分析：Config中的链接字符串以及用户信息，邮件，数据存储信息都需要加以保护程序员应该作的：配置所有的安全机制，关掉所有不使用的服务，设置角色权限帐号，使用日志和警报。 分析：用户使用缓冲区溢出来破坏web应用程序的栈，通过发送特别编写的代码到web程序中，攻击者可以让web应用程序来执行任意代码。 7、注入式漏洞 例：一个验证用户登陆的页面， 如果使用的sql语句为： Select * from table A where username＝’’ + username+’’ and pass word ….. Sql 输入‘ or 1＝1 ―― 就可以不输入任何password进行攻击 或者是半角状态下的用户名与密码均为：‘or’‘=’ 8、不恰当的异常处理 分析：程序在抛出异常的时候给出了比较详细的内部错误信息，暴露了不应该显示的执行细节，网站存在潜在漏洞， 9、不安全的存储 分析：帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号。 浏览器缓存：认证和会话数据不应该作为GET的一部分来发送，应该使用POST， 10、问题：跨站脚本（XSS） 分析：攻击者使用跨站脚本来发送恶意代码给没有发觉的用户，窃取他机器上的任意资料 测试方法： ● HTML标签：<…>… ● 转义字符：&(&)；<(<)；>(>)；(空格) ； ● 脚本语言：

浅谈WEB应用安全问题及防范

浅谈WEB应用安全问题及防范 随着WEB应用技术的发展，越来越多的企业或学校使用WEB应用来进行企业或学校信息开放性管理，使机构管理信息暴露在越来越多的威胁中。由于WEB应用具有一定的运行特点，传统防火墙对于其存在的安全问题缺少针对性和有效性，新的防护工具——Web应用防火墙应运而生。 标签：web应用开放性安全问题Web防火墙 随着信息资源逐渐向数据高度集中的模式，Web成为一种普适平台，Web 应用成为了越来越多的企业或学校进行核心业务及信息管理的承载者。Web应用提供了丰富的开放资源和高效率的新工作方式，但它的开放性、易用性和易开发性同样也使Web应用的安全问题日益突出，已成为了网络安全核心问题之一。 1 Web应用的工作原理和特点 Web应用程序首先是“应用程序”，和用标准的程序语言，如C、C++等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方，就是它是基于Web的，而不是采用传统方法运行的。 目前广泛使用的Web应用程序一般是B/S模式，使用标准的三层架构模型：第一层是客户端；使用动态Web内容技术的部分属于中间层；数据库是第三层。在B/S模式中，客户端运行浏览器软件。浏览器以超文本形式向Web服务器提出访问数据库的要求，Web服务器接受客户端请求后，将这个请求转化为SQL 语法，并交给数据库服务器，数据库服务器得到请求后，验证其合法性，并进行数据处理，然后将处理后的结果返回给Web服务器，Web服务器再一次将得到的所有结果进行转化，变成HTML文档形式，转发给客户端浏览器以友好的Web 页面形式显示出来。 因此，Web应用具有以下特点： 1.1 易用性 Web应用所基于的Web浏览器的界面都很相似，对于无用户交互功能的页面，用户接触的界面都是一致的，因此Web应用的操作简单易上手。 1.2 开放性 在Web应用的B/S模式下，除了内部人员可以访问，外部的用户亦可通过通用的浏览器进行访问，并且不受浏览器的限制。 1.3 易扩展性

软件测试之Web测试和App测试重点总结

软件测试之Web测试和App测试重点总结 随着互联网发展，web与APP的快速发展，使得各个互联网公司都想通过APP与web 结合，开发适合大家使用的软件，同时使得公司壮大及发展，然而一个好的app和web 离不开好的测试，现在我将web与app的测试点总结如下，供大家参考： 一、WEB测试重点 1.功能测试： 所实现的功能是否和需求一致； 2.界面测试： 界面是否美观，风格是否一致，文字内容是否正确； 3.链接测试： 打开链接速度是否合理；是否链接到正确的页面；是否有空白页面； 4.性能测试： 系统能支持多少用户同时在线；超过这些用户数，系统会给出什么样的反映； 5.兼容性测试： 项目在不同操作系统，不同浏览器上功能是否能正常使用； 6.安全性测试： 用户的登录名和密码在传输过程中是否是加密传输的； 用户长时间未操作页面，session会话是否会过期，要求用户重新登录； 日志文件cookies里的用户名和密码是否是加密的； 登录次数和登录设备是否有限制，是否支持一个账号多个设备登录； 二、APP测试重点 1.安装卸载测试： app在不同的操作系统（安卓和ios），不同的版本，不同的机型上是否都能安装成功； 在安装过程中，突然断网或网络不好，是否给出有好的提示，网络恢复之后是否能正常下载； 在安装过程中，突然内存不足，是否有相应的提示； 在安装过程中，是否支持取消操作； 在安装过程中，突然死机，断电，卡死，手机恢复正常后，是否能正常安装； 安装成功后能否正常运行 卸载时在不同系统，不同版本上能够卸载成功； 在卸载过程中是否支持取消操作； 在卸载过程中，突然死机，断电，卡死，手机恢复正常后，是否能正常卸载； 卸载完成之后，查看文件是否卸载干净； 2.运行测试： 运行过程中，是否有加载提示； 运行速度是否流畅；

(完整版)Linux安全配置基线

Linux系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年3月

版本版本控制信息更新日期更新人审批人V1.0创建2009年1月 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。 1.2适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。 1.3适用版本 LINUX系列服务器； 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

Web安全测试规范

DKBA 华为技术有限公司内部技术规范 DKBA Web应用安全测试规范 2009年7月5日发布2009年7月5日实施华为技术有限公司 Huawei Technologies Co., Ltd. 版权所有侵权必究 All rights reserved

修订声明Revision declaration 本规范拟制与解释部门： 安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部本规范的相关系列规范或文件： 《Web应用安全开发规范》 相关国际规范或文件一致性： 《OWASP Testing Guide v3》 《信息安全技术信息安全风险评估指南》 《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规范或文件： 无 相关规范或文件的相互关系： 本规范以《Web应用安全开发规范》为基础、结合Web应用的特点而制定。

目录Table of Contents 1概述错误!未定义书签。 背景简介错误!未定义书签。 适用读者错误!未定义书签。 适用范围错误!未定义书签。 安全测试在IPD流程中所处的位置错误!未定义书签。 安全测试与安全风险评估的关系说明错误!未定义书签。 注意事项错误!未定义书签。 测试用例级别说明错误!未定义书签。 2测试过程示意图错误!未定义书签。 3Web安全测试规范错误!未定义书签。 自动化Web漏洞扫描工具测试错误!未定义书签。 AppScan application扫描测试错误!未定义书签。 AppScan Web Service 扫描测试错误!未定义书签。 服务器信息收集错误!未定义书签。 运行帐号权限测试错误!未定义书签。 Web服务器端口扫描错误!未定义书签。 HTTP方法测试错误!未定义书签。 HTTP PUT方法测试错误!未定义书签。 HTTP DELETE方法测试错误!未定义书签。 HTTP TRACE方法测试错误!未定义书签。 HTTP MOVE方法测试错误!未定义书签。 HTTP COPY方法测试错误!未定义书签。 Web服务器版本信息收集错误!未定义书签。 文件、目录测试错误!未定义书签。 工具方式的敏感接口遍历错误!未定义书签。 Robots方式的敏感接口查找错误!未定义书签。 Web服务器的控制台错误!未定义书签。 目录列表测试错误!未定义书签。 文件归档测试错误!未定义书签。 认证测试错误!未定义书签。 验证码测试错误!未定义书签。 认证错误提示错误!未定义书签。 锁定策略测试错误!未定义书签。 认证绕过测试错误!未定义书签。 找回密码测试错误!未定义书签。 修改密码测试错误!未定义书签。 不安全的数据传输错误!未定义书签。 强口令策略测试错误!未定义书签。 会话管理测试错误!未定义书签。 身份信息维护方式测试错误!未定义书签。 Cookie存储方式测试错误!未定义书签。 用户注销登陆的方式测试错误!未定义书签。 注销时会话信息是否清除测试错误!未定义书签。 会话超时时间测试错误!未定义书签。

Web网站测试流程和方法

一、测试流程 所有测试的流程大体上是一致的：开始测试前准备-->需求分析-->测试设计（测试计划，测试用例）-->执行测试--> 提交BUG-->测试总结。 对于web测试，较之其他软件测试又有所不同，这是细节的不同，这个不同需要我们在不停的测试中去总结 web测试正式测试之前，应先确定如何开展测试，不可盲目的测试。一般网站的测试，应按以下流程来进行： 1）使用HTML Link Validator将网站中的错误链接找出来； 2）测试的顺序为：自顶向下、从左到右； 3）查看页面title是否正确。（不只首页，所有页面都要查看）； 4）LOGO图片是否正确显示； 5）LOGO下的一级栏目、二级栏目的链接是否正确； 6）首页登录、注册的功能是否实现； 7）首页左侧栏目下的文章标题、图片等链接是否正确； 8）首页中间栏目下的文章标题、图片等链接是否正确； 9）首页右侧栏目下的文章标题、图片等链接是否正确； 10）首页最下方的【友情链接】、【关于我们】等链接是否正确； 11）进入一级栏目或二级栏目的列表页。查看左侧栏目名称，右侧文章列表是否正确； 12）列表页的分页功能是否实现、样式是否统一； 13）查看文章详细页面的内容是否存在乱码、页面样式是否统一； 14）站内搜索（各个页面都要查看）功能是否实现； 15）前后台交互的部分，数据传递是否正确；

16) 默认按钮要支持Enter及选操作，即按Enter后自动执行默认按钮对应操作。 二、UI测试 UI测试包括的内容有如下几方面： 1）各个页面的样式风格是否统一； 2）各个页面的大小是否一致；同样的LOGO图片在各个页面中显示是否大小一致；页面及图片是否居中显示； 3）各个页面的title是否正确； 4）栏目名称、文章内容等处的文字是否正确，有无错别字或乱码；同一级别的字体、大小、颜色是否统一； 5）提示、警告或错误说明应清楚易懂，用词准确，摒弃模棱两可的字眼； 6）切换窗口大小，将窗口缩小后，页面是否按比例缩小或出现滚动条；各个页面缩小的风格是否一致，文字是否窜行； 7）父窗体或主窗体的中心位置应该在对角线焦点附近；子窗体位置应该在主窗体的左上角或正中；多个子窗体弹出时应该依次向右下方偏移，以显示出窗体标题为宜； 8）按钮大小基本相近，忌用太长的名称，免得占用过多的界面位置；避免空旷的界面上放置很大的按钮；按钮的样式风格要统一；按钮之间的间距要一致； 9）页面颜色是否统一；前景与背景色搭配合理协调，反差不宜太大，最好少用深色或刺目的颜色； 10）若有滚动信息或图片，将鼠标放置其上，查看滚动信息或图片是否停止； 11）导航处是否按相应的栏目级别显示；导航文字是否在同一行显示； 12）所有的图片是否都被正确装载，在不同的浏览器、分辨率下图片是否能正确显示（包括位

Microsoft Windows安全配置基线

Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)

5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)

Web安全系统测试要求规范

DKBA DKBA 2355-2009.7 .2cto.红黑联盟收集整理 Web应用安全测试规V1.2 2009年7月5日发布2009年7月5日实施 所有侵权必究 All rights reserved

修订声明Revision declaration 本规拟制与解释部门： 安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部 本规的相关系列规或文件： 《Web应用安全开发规》 相关国际规或文件一致性： 《OWASP Testing Guide v3》 《信息安全技术信息安全风险评估指南》 《Information technology Security techniques Management of information and communications technology security》－ISO 13335 替代或作废的其它规或文件： 无 相关规或文件的相互关系： 本规以《Web应用安全开发规》为基础、结合Web应用的特点而制定。

目录Table of Contents 1概述 (7) 1.1背景简介 (7) 1.2适用读者 (7) 1.3适用围 (7) 1.4安全测试在IPD流程中所处的位置 (8) 1.5安全测试与安全风险评估的关系说明 (8) 1.6注意事项 (9) 1.7测试用例级别说明 (9) 2测试过程示意图 (10) 3WEB安全测试规 (11) 3.1自动化W EB漏洞扫描工具测试 (11) 3.1.1AppScan application扫描测试 (12) 3.1.2AppScan Web Service 扫描测试 (13) 3.2服务器信息收集 (13) 3.2.1运行权限测试 (13) 3.2.2Web服务器端口扫描 (14) 3.2.3HTTP方法测试 (14) 3.2.4HTTP PUT方法测试 (15) 3.2.5HTTP DELETE方法测试 (16) 3.2.6HTTP TRACE方法测试 (17) 3.2.7HTTP MOVE方法测试 (17) 3.2.8HTTP COPY方法测试 (18) 3.2.9Web服务器版本信息收集 (18) 3.3文件、目录测试 (20) 3.3.1工具方式的敏感接口遍历 (20) 3.3.2Robots方式的敏感接口查找 (21)

五个常见的Web应用漏洞及其解决方法

五个常见的Web应用漏洞及其解决方法开放Web应用安全项目（OW ASP）很快会发布今年的10大Web应用安全漏洞清单。这个清单与去年并没有太大差别，这表明负责应用设计与开发的人仍然没能解决以前那些显而易见的错误。许多最常见的Web应用漏洞仍然广泛存在，许多恶意软件搜索和攻击这些漏洞，连黑客新手都能轻松做到。 本文介绍了5个最常见的Web应用漏洞，以及企业该如何修复初级问题，对抗那些针对这些漏洞的攻击。 注入攻击和跨站脚本攻击 Web应用主要有2种最常见的严重缺陷。首先是各种形式的注入攻击，其中包括SQL、操作系统、电子邮件和LDAP注入，它们的攻击方式都是在发给应用的命令或查询中夹带恶意数据。别有用心的数据可以让应用执行一些恶意命令或访问未授权数据。如果网站使用用户数据生成SQL查询，而不检查用户数据的合法性，那么攻击者就可能执行SQL注入。这样攻击者就可以直接向数据库提交恶意SQL查询和传输命令。举例来说，索尼的PlayStation 数据库就曾经遭遇过SQL注入攻击，并植入未授权代码。 跨站脚本(XSS)攻击会将客户端脚本代码（如JavaScript）注入到Web应用的输出中，从而攻击应用的用户。只要访问受攻击的输出或页面，浏览器就会执行代码，让攻击者劫持用户会话，将用户重定向到一个恶意站点或者破坏网页显示效果。XSS攻击很可能出现在动态生成的页面内容中，通常应用会接受用户提供的数据而没有正确验证或转码。 为了防御注入攻击和XSS攻击，应用程序应该配置为假定所有数据——无论是来自表单、URL、Cookie或应用的数据库，都是不可信来源。要检查所有处理用户提供数据的代码，保证它是有效的。验证函数需要清理所有可能有恶意作用的字符或字符串，然后再将它传给脚本和数据库。要检查输入数据的类型、长度、格式和范围。开发者应该使用现有的安全控制库，如OW ASP的企业安全API或微软的反跨站脚本攻击库，而不要自行编写验证代码。此外，一定要检查所有从客户端接受的值，进行过滤和编码，然后再传回给用户。 身份验证和会话管理被攻破 Web应用程序必须处理用户验证，并建立会话跟踪每一个用户请求，因为HTTP本身不具备这个功能。除非任何时候所有的身份验证信息和会话身份标识都进行加密，保证不受其他缺陷（如XSS）的攻击，否则攻击者就有可能劫持一个激活的会话，伪装成某个用户的身份。如果一个攻击者发现某个原始用户未注销的会话（路过攻击），那么所有帐号管理功能和事务都必须重新验证，即使用户有一个有效的会话ID。此外，在重要的事务中还应该考虑使用双因子身份验证。 为了发现身份验证和会话管理问题，企业要以执行代码检查和渗透测试。开发者可以使用自动化代码和漏洞扫描程序，发现潜在的安全问题。有一些地方通常需要特别注意，其中包括会话身份标识的处理方式和用户修改用户身份信息的方法。如果没有预算购买商业版本，那么也可以使用许多开源和简化版本软件，它们可以发现一些需要更仔细检查的代码或进程。

web端性能测试报告

Xxxx 性能测试报告 文档编号： 密级： 版本信息：Vxxxx 建立日期：2017-06 创建人：XXX

1引言 1.1编写目的 根据性能测试方案，给出结果和分析以及结论和建议。 测试方案预期读者：开发人员、测试人员、和项目相关人员。 1.2项目背景 1.3术语定义 虚拟用户：通过执行测试脚本模仿真实用户与被测试系统进行通信的进程或线程。 测试脚本：通过执行特定业务流程来模拟真实用户操作行为的脚本代码。 场景：通过组织若干类型、若干数量的虚拟用户来模拟真实生成环境中的负载场景。 集合点：用来确定某一步操作由多少虚拟用户同步执行（并发）。 事务：设置事务是为了明确某一个或多个业务或者某一个按钮操作的响应时间。 HPS:每秒点击数，一般情况下，与TPS成正比。 TPS：每秒事务数，是指每秒内，每个事务通过、失败以及停止的次数，可以确定系统在任何给定时刻的实际事务负载。 系统资源利用率：是指在对被测试系统执行性能测试时，系统部署的相关应用服务器、数据库等系统资源利用，比如CUP，内存，网络等。

2测试业务及性能需求 服务器配置如下： Web服务器： 操作系统：Windows7 旗舰版64位； 处理器：Intel(R) Xeon(R) CPUI5 -5200U@2.20GHz 2.20GHz 3场景设及计执行结果 3.1场景设计

3.2测试结果 3.2.1“提交”事务情况汇总 3.2.2每秒点击量（hps） 1、CJ-TJ_001和CJ-TJ_004点击率在大概维持在13-15左右的点击率 2、CJ-TJ_003和CJ-TJ_004点击率在场景持续变发60或者80个用户时，hPS会有明显的下降

Sybase数据库安全配置基线

Sybase数据库安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章帐号管理、认证授权安全要求 (5) 2.1帐号管理 (5) 2.2口令 (5) 2.2.1修改sa默认密码 (5) 2.2.2修改dba默认密码 (5) 2.2.3修改mon_user默认密码 (6) 2.2.4修改jagadmin默认密码 (6) 2.2.5修改entldbdbo默认密码 (7) 2.2.6修改PIAdmin默认密码 (7) 2.2.7修改PortalAdmin默认密码 (8) 2.2.8修改pkiuser默认密码 (8) 2.2.9修改pso默认密码 (9) 2.2.10密码复杂度 (10) 2.2.11最大错误登录次数* (10) 第3章其他安全要求 (12) 3.1其他安全配置 (12) 3.1.1补丁版本* (12) 3.1.2系统通用配置* (12) 第4章评审与修订 (15)

第1章概述 1.1 目的 本文档规定了中国移动管理信息系统部所维护管理的Sybase数据库应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Sybase数据库的安全配置。 1.2 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Sybase 数据库。 1.3 适用版本 Sybase数据库。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

Web安全测试的步骤

安全测试方面应该参照spi的web安全top 10来进行。 目前做软件测试人员可能对安全性测试了解不够，测试结果不是很好。如果 经验不足，测试过程中可以采用一些较专业的web安全测试工具，如WebInspect、Acunetix.Web.Vulerability.Scanner等，不过自动化web安全测试的最大缺陷就是误 报太多，需要认为审核测试结果，对报告进行逐项手工检测核对。 对于web安全的测试用例，可以参照top 10来写，如果写一个详细的测试用例，还是比较麻烦的，建议采用安全界常用的web渗透报告结合top10来写就可以了。 现在有专门做系统和网站安全检测的公司，那里做安全检测的人的技术都很好，大多都是红客。 再补充点，网站即使站点不接受信用卡支付，安全问题也是非常重要的。Web 站点收集的用户资料只能在公司内部使用。如果用户信息被黑客泄露，客户在进行交易时，就不会有安全感。 目录设置 Web 安全的第一步就是正确设置目录。每个目录下应该有 index.html 或 main.html 页面，这样就不会显示该目录下的所有内容。我服务的一个公司没有执 行这条规则。我选中一幅图片，单击鼠标右键，找到该图片所在的路径 "…com/objects/images".然后在浏览器地址栏中手工输入该路径，发现该站点所有 图片的列表。这可能没什么关系。我进入下一级目录"…com/objects" ，点击jackpot.在该目录下有很多资料，其中引起我注意的是已过期页面。该公司每个月 都要更改产品价格，并且保存过期页面。我翻看了一下这些记录，就可以估计他 们的边际利润以及他们为了争取一个合同还有多大的降价空间。如果某个客户在谈判之前查看了这些信息，他们在谈判桌上肯定处于上风。 SSL 很多站点使用 SSL 进行安全传送。你知道你进入一个 SSL 站点是因为浏览器 出现了警告消息，而且在地址栏中的HTTP 变成HTTPS.如果开发部门使用了SSL，测试人员需要确定是否有相应的替代页面（适用于3.0 以下版本的浏览器，这些浏 览器不支持SSL.当用户进入或离开安全站点的时候，请确认有相应的提示信息。 是否有连接时间限制？超过限制时间后出现什么情况？ 登录