一個(gè)完整的門戶網站(zhàn)安全體系物來測試應該從部署與基礎結構,輸入驗證,身份驗證,授權,討麗配置管理,敏感數據,會話管理,加密,參數操作,異常管理,審核和(hé)日志飛日記錄等幾個(gè)方面入手。
但是常見的安全性缺陷和(hé)漏洞有:
一、緩沖區溢出,已兵外經成為應用系統安全的主要威脅之一了。
通(tōng)常有兩種原因:
1、設計空間的轉換規則的煙麗校(xiào)驗問(wèn)題。即缺乏對可(k腦愛ě)測數據的校(xiào)驗,導緻非法數據沒有在外部輸入層被檢查出公和來并丢棄。
2、局部測試空煙空間和(hé)設計空間不足。當合法數據進入後,由于程序匠答實現層對應的測試空間或設計空間不足,導緻程序處理時出現溢出。
二、權限過大,如(rú)果歌我賦予過大的權限,***可(kě)能導緻隻有普通(tōng)用戶權限如和的惡意用戶利用過大的權限做出危害安全的操作。例如(rú)沒有對能操作的内容做出間錢限制,***可(kě)能導緻用戶可(kě)以訪問(wèn)知遠超過他權限的資(zī)源。将影響到整個(gè)系統的數女紙據安全,其他關(guān)于系統中(zhōn多花g)所做的安全(數據的加密、完整性)也**數玩*沒有了意義。
三、錯誤處理,一般情況下(xià),在做出錯綠房誤處理的時候,系統都會返回一些信息給用戶,比如(rú)中(zh村那ōng)間件信息。這一類的信息沒有做到隐藏,可(kě)能會被惡意用戶相又利用來進行攻擊并獲取用戶數據。常見報錯:404。在測試中(zh光信ōng),一定要注意對系統反饋信息的收集因為在現實環境中(zhō南從ng),非法用戶的攻擊都是出信息收集開始的。
四、加密弱點,在平時的測試工作中(zhōng),在去樂訪談開發人員時很多時候他們的有對系統重要信息進行加密,但是知拿在我們上工具(抓包、漏洞掃描)時***會發現:
1、用不安全的加密算法。加密算法強度不上窗夠,一些加密算法甚至可(kě)以用簡單字資工典***能通(tōng)過窮舉的方法進行破解。像MD5加密,有離離些*********隻是做了簡單的轉換,通(tōng)過抓取的信息劇愛在已轉換***能得到詳細的用戶信息。
2、加密數據時密碼是由僞随機算法産生的,而産放放生僞随機數的方法存在缺陷,這樣***導緻密碼容易被破解。
3、客戶機與服務器(qì)時鐘未同步,給攻擊者足夠西山的時間來破解密碼或修改數據。
以上的門戶網站(zhàn)信多均是在測試時,訪問(wèn)量不大的政企門戶網站(zhàn)。線金從中(zhōng)央開始清查全國黨政企業(yè)的“僵屍網站(zhàn見喝)”起等保測試中(zhōng)這塊業(yè)務的比重***在增加,在上件跳述的常見安全問(wèn)題中(zhōng)還有***是管理制度的不到位也是我一校們在測評工作中(zhōng)注意的******。
聯系人:宋經理
座機:028-86677012
郵箱:songp@cdjxcm.com
QQ:369299839
地址:成都市武侯區長華路(lù)19号萬科彙智中(zhōn下書g)心30樓