国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

安全評估之漏洞掃描、基線檢查、滲透測試

2年前作者:xiejava1018分類:Toy博客閱讀(30)違法舉報

這篇具有很好參考價值的文章主要介紹了安全評估之漏洞掃描、基線檢查、滲透測試。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

為保證業(yè)務(wù)系統(tǒng)運營的安全穩(wěn)定,在業(yè)務(wù)系統(tǒng)上線前需要開展三同步檢查,針對新業(yè)務(wù)系統(tǒng)上線、新版本上線、項目驗收前開展安全評估。可以幫助其在技術(shù)層面了解系統(tǒng)存在的安全漏洞。今天就來了解一下安全評估之漏洞掃描、基線檢查、滲透測試。

安全評估的內(nèi)容主要涉及主機(jī)漏洞掃描、安全基線檢查、滲透測試三個方面:

主機(jī)漏洞掃描

主機(jī)漏洞掃描一般是采用漏洞掃描工具,根據(jù)其內(nèi)置的弱點測試方法,從網(wǎng)絡(luò)側(cè)對被評估對象進(jìn)行一系列的檢查,從而發(fā)現(xiàn)弱點。發(fā)現(xiàn)其存在的不安全漏洞后進(jìn)行人工分析和確認(rèn),針對每個漏洞的整改意見完成報告的輸出。被評估對象系統(tǒng)的管理人員根據(jù)掃描的結(jié)果以及修復(fù)建議修復(fù)網(wǎng)絡(luò)安全漏洞,在黑客攻擊前進(jìn)行防范。被評估對象系統(tǒng)的管理人員對這些漏洞進(jìn)行修復(fù)后,安服工程師會對漏洞掃描報告中每個漏洞進(jìn)行漏洞復(fù)測,并輸出復(fù)測報告。使用戶更加全面的了解全網(wǎng)的安全狀態(tài),提高對安全漏洞的認(rèn)識和管理能力,并通過對漏洞的修補(bǔ)加強(qiáng)應(yīng)用系統(tǒng)抵御惡意入侵的能力。

安全基線檢查

安全基線檢查是通過采用安全檢查設(shè)備以及人工檢查兩種方法從對應(yīng)目標(biāo)的安全合規(guī)性等方面開展對系統(tǒng)的全量安全基線檢查,從而發(fā)現(xiàn)其基線的不合規(guī)項。其次在發(fā)現(xiàn)基線不合規(guī)項之后由安服工程師進(jìn)行人工二次確認(rèn),依據(jù)工信部基線安全標(biāo)準(zhǔn),針對性提供每個基線不合規(guī)項的整改建議,并完成基線不合規(guī)項報告輸出。評估對象系統(tǒng)的管理人員可根據(jù)輸出報告對基線不合規(guī)項進(jìn)行基線整改。整改完成后,安服工程師會對按照工信部基線安全標(biāo)準(zhǔn)對所涉及不合規(guī)項進(jìn)行安全基線復(fù)測,并輸出復(fù)測報告。確保系統(tǒng)安全性得到提升,建立系統(tǒng)基礎(chǔ)的安全防御體系。

滲透測試

滲透測試主要是模擬黑客的攻擊手法,通過自動化漏洞掃描工具結(jié)合手工測試的方式對系統(tǒng)進(jìn)行無害化的安全評估。滲透測試包含應(yīng)用安全測試和業(yè)務(wù)安全測試兩部分,應(yīng)用安全測試包括但不限于如下內(nèi)容:

序號 應(yīng)用安全檢查項 檢查項說明
1 注入類攻擊 注入攻擊漏洞,例如SQL,OS以及LOAP注入,這些攻擊發(fā)生在當(dāng)不可信的數(shù)據(jù)作為命令或者查詢語句的一部分,被發(fā)送給解釋器的時候,攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器,以執(zhí)行計劃外的命令或者訪問未授權(quán)的數(shù)據(jù)。
2 跨站腳本(XSS) 當(dāng)應(yīng)用程序收到含有不可信的數(shù)據(jù),在沒有進(jìn)行適當(dāng)?shù)尿炞C和轉(zhuǎn)義的情況下,就將它發(fā)送給一個網(wǎng)頁瀏覽器,這就會產(chǎn)生跨站腳本攻擊(簡稱XSS)。XSS允許攻擊者在受害者的瀏覽器上執(zhí)行腳本,從而劫持用戶會話、危害網(wǎng)站、或者將用戶轉(zhuǎn)向惡意網(wǎng)站。
3 失效的身份認(rèn)證和會話管理 與身份認(rèn)證和會話管理相關(guān)的應(yīng)用程序功能往往得不到正確的實現(xiàn),這就導(dǎo)致了攻擊者破壞密碼、秘鑰、會話令牌或攻擊其他的漏洞去冒充其他用戶的身份
4 不安全的直接對象引用 當(dāng)開發(fā)人員暴露一個對內(nèi)部實現(xiàn)對象的引用時,例如,一個文件、目錄或數(shù)據(jù)庫秘鑰,就會產(chǎn)生一個不安全的直接對象引用,在沒有訪問控制檢測或者其他保護(hù)時,攻擊者會操作這些引用去訪問未授權(quán)數(shù)據(jù)。
5 跨站請求偽造 一個跨站請求偽造攻擊迫使登陸用戶的瀏覽器將偽造的HTTP請求,包括該用戶的會話cookie和其他認(rèn)證信息,發(fā)送到一個存在漏洞的web應(yīng)用程序,這就允許了攻擊者迫使用戶瀏覽器向存在漏洞的應(yīng)用程序發(fā)送請求,而這些請求會被應(yīng)用程序認(rèn)為是用戶的合法請求。
6 安全配置錯誤 好的安全需要對應(yīng)用程序、框架、應(yīng)用程序服務(wù)器、web服務(wù)器、數(shù)據(jù)庫服務(wù)器和平臺,定義和執(zhí)行安全配置。由于許多設(shè)置的默認(rèn)值并不是安全的,因此,必須定義、實施和維護(hù)所有這些設(shè)置。這包括了對所有的軟件保持及時地更新,包括所有應(yīng)用程序的庫文件。
7 不安全的加密存儲 許多web應(yīng)用程序并沒有使用恰當(dāng)?shù)募用艽胧┗騂ash算法保護(hù)敏剛數(shù)據(jù),比如信用卡、身份證等等。攻擊者可能利用這種弱保護(hù)數(shù)據(jù)實行身份盜竊、信用卡詐騙或其他犯罪。
8 沒有限制URL訪問 許多web應(yīng)用程序在顯示受保護(hù)的鏈接和按鈕之前會檢測URL訪問權(quán)限。但是,當(dāng)這些頁面被訪問是,應(yīng)用程序也需要執(zhí)行類似的訪問控制檢測,否則攻擊者將可以偽造這些URL去訪問隱藏的頁面
9 傳輸層的保護(hù)不足 應(yīng)用程序時常沒有進(jìn)行身份認(rèn)證,加密措施,甚至沒有保護(hù)敏感網(wǎng)絡(luò)數(shù)據(jù)的保密性和完整性。而當(dāng)進(jìn)行保護(hù)時,應(yīng)用程序有時采用弱算法,使用過期或者無效的證書,或不正確地使用這些技術(shù)。
10 未驗證的重定向和轉(zhuǎn)發(fā) WEB應(yīng)用程序經(jīng)常將用戶重新定向和轉(zhuǎn)發(fā)到其他網(wǎng)頁和網(wǎng)站,并且利用不可信的數(shù)據(jù)去判定目的頁面,如果沒有得到適當(dāng)驗證,攻擊者可以重定向受害用戶到釣魚軟件或惡意網(wǎng)站,或者使用轉(zhuǎn)發(fā)去訪問未授權(quán)的頁面

業(yè)務(wù)安全測試包括但不限于如下內(nèi)容:

序號 業(yè)務(wù)安全檢查項 檢查項說明
1 身份認(rèn)證管理 該項測試主要針對身份認(rèn)證環(huán)節(jié),以及在非授權(quán)情況下訪問一些授權(quán)用戶才能訪問的頁面,或進(jìn)行授權(quán)用戶的操作。
2 業(yè)務(wù)一致性 該項測試主要針對辦理業(yè)務(wù)過程中用戶的身份與用戶辦理的業(yè)務(wù)是否相關(guān)聯(lián)一直的安全測試
3 業(yè)務(wù)授權(quán)安全 該項測試主要針對于是否存在非授權(quán)情況下訪問一些授權(quán)用戶才能訪問的頁面,或進(jìn)行授權(quán)用戶的操作。
4 用戶輸入合法性驗證 Web應(yīng)用程序沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,就會使應(yīng)用程序存在安全隱患。從而容易受到跨站腳本及SQL注入等攻擊
5 誤操作回退 手動進(jìn)行誤操作嘗試,看系統(tǒng)是否能夠正確回滾。例如,交易操作,在購買未完成時異常退出,看系統(tǒng)是否能夠自動釋放被購買物的鎖定狀態(tài)。又例如辦理操作,如話費套餐變更,更改過程出錯或異常退出是否能正確回滾到辦理之前的狀態(tài)
6 驗證碼機(jī)制 驗證碼控制是一種由WEB應(yīng)用程序生成的隨機(jī)數(shù),以確保用戶提交的請求不是由bot生成。
7 業(yè)務(wù)數(shù)據(jù)篡改 該項測試主要針對于辦理業(yè)務(wù)過程中用戶瀏覽器端傳遞至服務(wù)端的字段篡改測試。
8 業(yè)務(wù)流亂序 該項測試主要針對業(yè)務(wù)的處理流程是否有正常的順序,確保不會通過技術(shù)手段繞過某些重要流程步驟。
9 信息正確呈現(xiàn) 對于用戶提交的請求,是否能夠返回用戶需要的頁面信息。
10 業(yè)務(wù)接口惡意調(diào)用 1.對于敏感的業(yè)務(wù)接口,是否預(yù)先有身份認(rèn)證機(jī)制?查看此類可能被惡意大規(guī)模調(diào)用的業(yè)務(wù)接口,如用戶登錄模塊、密碼找回、密碼重置等等。
2.對于具有查詢展示辦理功能的業(yè)務(wù)皆苦,如果不需要身份認(rèn)證是否有強(qiáng)制驗證碼機(jī)制防止機(jī)器人程序等自動化大規(guī)模的惡意調(diào)用。

博客:http://xiejava.ishareread.com/文章來源地址http://www.zghlxwxcb.cn/news/detail-502807.html

到了這里,關(guān)于安全評估之漏洞掃描、基線檢查、滲透測試的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進(jìn)行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • 漏洞檢測和評估【網(wǎng)站子域掃描工具02】

    漏洞檢測和評估【網(wǎng)站子域掃描工具02】

    上一篇:爬取目標(biāo)網(wǎng)站的域名和子域名【網(wǎng)站子域掃描工具01】 在Python中,有一些流行的漏洞掃描庫可以對子域進(jìn)行漏洞掃描和評估,比如Nmap、Sublist3r等。 nmap庫可以提供簡單的端口和服務(wù)信息收集,但是它并不提供直接的漏洞評估功能。 在上述示例中,我們使用了 python-

    2024年01月19日
    瀏覽(22)
  • 滲透測試常用武器分享 第四期(漏洞掃描)

    滲透測試常用武器分享 第四期(漏洞掃描)

    xray 漏洞掃描 | 6.8k Star 簡介: ?一款完善的安全評估工具,支持常見 web 安全問題掃描和自定義 poc 點評: ?可以用爬蟲主動掃描,代理被動掃描。更新及時,官方不定期舉辦poc活動。配合登錄態(tài)爬蟲+被動掃描簡直自動化神器,推薦??! 地址: ?https://github.com/chaitin/xray Nuclei **開

    2024年02月08日
    瀏覽(19)
  • 【滲透測試】漏洞掃描AWVS安裝使用教程,三分鐘手把手教會,非常簡單

    【滲透測試】漏洞掃描AWVS安裝使用教程,三分鐘手把手教會,非常簡單

    Acunetix Web Vulnerability Scanner(簡稱AWVS)是一個 自動化 的Web漏洞掃描工具,它可以掃描任何通過 Web瀏覽器訪問 和 遵循HITP/HTTPS 規(guī)則的Web站點。 AWVS原理是基于 漏洞匹配方法 ,通過 網(wǎng)絡(luò)爬蟲 測試你的網(wǎng)站安全,檢測流行安全 AWVS可以檢測什么漏洞,它有什么優(yōu)勢? AWVS可以通過

    2024年01月25日
    瀏覽(29)
  • 5.5 漏洞掃描:Web安全漏洞掃描及審計

    5.5 漏洞掃描:Web安全漏洞掃描及審計

    目錄 一、預(yù)備知識:Web漏洞的獲取方法與w3af 1. 漏洞掃描 2. 漏洞掃描器 3.? w3af 二、實驗環(huán)境 三、實驗步驟 四、實驗思考 1. 漏洞掃描 ????????漏洞掃描除用于網(wǎng)絡(luò)攻擊外,還用于對網(wǎng)絡(luò)的安全防御。系統(tǒng)管理員通過對網(wǎng)絡(luò)漏洞的系統(tǒng)掃描,全面地了解網(wǎng)絡(luò)的安全狀態(tài),

    2024年02月09日
    瀏覽(16)

  • 安全 漏洞掃描 OSSIM

    安全 漏洞掃描OSSIM OSSIM Burp Suite Professional:一站式Web應(yīng)用程序漏洞檢測套件 (4)硬件選擇,可以采用品×××服務(wù)器,對于中小企業(yè)也可以根據(jù)自己需求,以O(shè)SSIM 4.8系統(tǒng)為例,目前系統(tǒng)對多核性能支持的比較好,推薦采用至強(qiáng)E系列處理器,OSSIM在漏洞掃描、Ossec掃描、Snort事件

    2024年01月19日
    瀏覽(14)

  • 安全防御之漏洞掃描技術(shù)

    每年都有數(shù)以千計的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布,加上攻擊者手段的不斷變化,網(wǎng)絡(luò)安全狀況也在隨著安全漏洞的增加變得日益嚴(yán)峻。尋根溯源,絕大多數(shù)用戶缺乏一套完整、有效的漏洞管理工作流程,未能落實定期評估與漏洞修補(bǔ)工作。只有比攻擊者更早掌握自己網(wǎng)絡(luò)安全

    2024年02月02日
    瀏覽(20)

  • 網(wǎng)絡(luò)安全漏洞掃描技術(shù)

    ????????網(wǎng)絡(luò)安全漏洞掃描的作用是 發(fā)現(xiàn)系統(tǒng)中存在的潛在安全漏洞,評估系統(tǒng)的安全性,預(yù)防和減輕潛在的安全威脅,并滿足合規(guī)性要求 。它對于提高系統(tǒng)的安全性、降低風(fēng)險以及保護(hù)敏感數(shù)據(jù)和資產(chǎn)都具有重要的意義。網(wǎng)絡(luò)安全漏洞掃描技術(shù)包括以下幾種常見的方法

    2024年02月11日
    瀏覽(21)

  • 基線掃描tomcat安全加固-檢查是否支持HTTPS等加密協(xié)議

    背景:基線掃描時,docker鏡像中的tomcat在檢查是否支持HTTPS等加密協(xié)議這一項上未通過。 思路:先通過JDK自帶的keytool工具生成證書,再從tomcat的server.xml配置文件中增加配置。 我不確定不同版本的JDK生成的證書是否可以通用,所以我使用鏡像自帶的jdk生成證書, 因為我使用的

    2024年01月23日
    瀏覽(24)
  • 常見的安全掃描漏洞的工具、漏洞分類及處理

    常見的安全掃描漏洞的工具、漏洞分類及處理

    Nikto 這是一個開源的Web服務(wù)器掃描程序,它可以對Web服務(wù)器的多種項目進(jìn)行全面的測試。其掃描項目和插件經(jīng)常更新并且可以自動更新。Nikto可以在盡可能短的周期內(nèi)測試你的Web服務(wù)器,這在其日志文件中相當(dāng)明顯。不過,如果你想試驗一下,它也可以支持 LibWhisker的反IDS方法

    2023年04月08日
    瀏覽(29)

  • 安全合規(guī)之漏洞掃描的重要意義

    隨著信息技術(shù)的飛速發(fā)展,企業(yè)在日常運營中越來越依賴于網(wǎng)絡(luò)和數(shù)字化系統(tǒng)。然而,隨之而來的是網(wǎng)絡(luò)安全威脅的不斷增加,給企業(yè)的數(shù)據(jù)和運營帶來了巨大的風(fēng)險。為了保護(hù)企業(yè)的資產(chǎn)和數(shù)據(jù),企業(yè)需要積極采取措施來確保網(wǎng)絡(luò)的安全性和合規(guī)性。其中,漏洞掃描是一項

    2024年02月19日
    瀏覽(18)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包