安全性测试报告

我们出具报告,报告上是要体现安全性测评依据标准文件的。
这次出具的报告是按照GB 25000.51-2016标准,根据Q/GDW 1597-2015的测评项进行开展测评,根据10942-2018的具体测评方法进行编写报告

在标准文件中,有“安全漏洞” ,“外部接口”要求,但是在我们安全性测评培训中,不要求进行测评

说明:报告编号
机构简称+六位编号+检测类型+顺序号(两位)
样品编号
机构简称+六位编号+项目类型+检测类型+顺序号(三位)

对于安全性测试内容,不同于等保,我们是需要充分的依据来支撑我们的测评结果的,所以针对每一项,我们都要有截图放上去。
有几项比较难理解的测评项,说明一下

  1. 鉴别信息过程应在服务端进行完成,而不是在前端进行完成。
    首先就是应该去看源代码,在看不到源代码的情况下,我们从侧面来验证,
    比如是在浏览器中设置禁用JavaScript,来看下是否能够登录上去,如果可以,说明鉴别信息是在服务端进行完成校验的

  2. 密码复杂度
    等保不区分大小写字母,就是字母、特殊字符、数字里至少两种。
    而安全性测试中,是区分的,四种里面要有三种

  3. 系统具有防重放机制
    如何验证,就是我第一次输入正确的用户名口令,抓取到hash值保存,第二次故意输错,得到hash值替换第一次的hash值,如果可以登录,就说明不具备防重放机制

  4. 服务端和客户端应具有双向机制
    我们输入的用户名口令,是服务端验证客户端
    我们访问系统,使用SSL证书,在网络层面就是客户端验证服务端

  5. 访问控制
    这个里面就是涉及到管理员以及权限划分

  • 系统管理员:用来对用户权限划分、系统模块配置
  • 审计管理员:可以查询到所有的用户的登录日志、操作日志一块
  • 业务配置员:仅对业务模块的流程、组织架构进行配置
  • 业务操作员:使用这个系统的工作人员,无管理功能
  • 业务管理员:对业务类人员进行权限划分
  • 审核管理员:也是业务当中的一环,负责审核流程

敏感标记就是强制访问控制,大于访问策略,至于敏感标记这一块,还没有多少系统可以做的这么好。

  1. 禁止返回与业务无关的信息
    这个通过burp软件来实现分析

好的,目前就是了解这么多,回见

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/749566.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【RS422】基于未来科技FT4232HL芯片的多波特率串口通信收发实现

功能简介 串行通信接口常常用于在计算机和低速外部设备之间传输数据。串口通信存在多种标准,以RS422为例,它将数据分成多个位,采用异步通信方式进行传输。   本文基于Xilinx VCU128 FPGA开发板,对RS422串口通信进行学习。   根…

家具工厂5G智能制造数字孪生可视化平台,推进家具行业数字化转型

家具制造5G智能制造工厂数字孪生可视化平台,推进家具行业数字化转型。随着科技的飞速发展,家具制造业正迎来一场前所未有的数字化转型。在这场家具制造业转型中,5G智能制造工厂数字孪生可视化平台发挥着至关重要的作用。 5G智能制造工厂数字孪…

MySQL语法分类 DQL(3)排序查询

为了更好的学习这里给出基本表数据用于查询操作 create table student (id int, name varchar(20), age int, sex varchar(5),address varchar(100),math int,english int );insert into student (id,name,age,sex,address,math,english) values (1,马云,55,男,杭州,66,78),…

MATLAB中的数据类型

MATLAB是一种高级编程语言和交互式环境,用于算法开发、数据可视化、数据分析和数值计算。在MATLAB中,数据类型是用于分类和定义存储在变量中数据种类的基本概念。选择适当的数据类型对于确保程序的正确性、有效性和内存效率至关重要。下面将详细解释MATL…

python企业编码管理的程序(附源码)

企业编码管理Python程序包介绍 在当今数字化时代,企业编码管理成为企业信息化建设中不可或缺的一环。有效的编码管理不仅有助于企业规范业务流程,提高数据处理效率,还能降低运营成本,增强市场竞争力。为此,我们推出了…

华为数通方向HCIP-DataCom H12-821题库(多选题:161-180)

第161题 以下关于IPv6优势的描述,正确的是哪些项? A、底层自身携带安全特性 B、加入了对自动配置地址的支持,能够无状态自动配置地址 C、路由表相比IPv4会更大,寻址更加精确 D、头部格式灵活,具有多个扩展头 【参考答案】ABD 【答案解析】 第162题 在OSPF视图下使用Filt…

降维算法之t-SNE (t-Distributed Stochastic Neighbor Embedding)

注意:本文引用自专业人工智能社区Venus AI 更多AI知识请参考原站 ([www.aideeplearning.cn]) t-SNE是一种用于探索高维数据结构的非线性降维技术。它特别适用于高维数据的可视化,因为它能够在低维空间中保留原始高维数据的局部结…

[WUSTCTF2020]朴实无华

查看robots.txt 找到/fAke_flagggg.php 显然这是个假的flag&#xff0c;但是我们在header处发现了fl4g.php 近来发现中文全部变成了乱码 插件转成utf8后正常显示 <?php header(Content-type:text/html;charsetutf-8); error_reporting(0); highlight_file(__file__);//leve…

c# 前后台协同

目的&#xff0c;前台显示页面&#xff0c;后台加载所需数据集到前台。 1、声明数据库中对应表的实体类,创建的实体类和数据表同名&#xff0c;方便维护 public class sjbtable { //字段的get set public long ID { get; set; } public string NAME { get; set; } }…

epoll合集

一、epoll_event epoll_event 结构体用于在 Linux 中管理异步 I/O 事件。让我们来详细了解一下&#xff1a; 定义&#xff1a; epoll_event 结构体指定了内核在相应的文件描述符就绪时应保存并返回的数据。它的定义如下&#xff1a; #include <sys/epoll.h> struct e…

C# 方法

文章目录 1.方法的定义与调用2.方法的参数3.方法参数的赋值4.引用传参5.方法的返回值6.out输出参数7.参数列表8.作用域上期练习题答案本期练习题 1.方法的定义与调用 using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Th…

Linux 系统调用函数fork、vfork、clone详解

文章目录 1 fork1.1 基本介绍1.2 fork实例1.2.1多个fork返回值1.2.2 C语言 fork与输出1.2.3 fork &#x1f4a3; 2 vfork2.1 基本介绍2.2 验证vfork共享内存 3 clone3.1 基本介绍3.2 clone使用 1 fork 1.1 基本介绍 #include <sys/types.h> #include <unistd.h>p…

Unity 3D中使用泛型

目录 泛型所提供的好处有以下3点C#提供的泛型机制主要可以分为以下两种形式Mono运行时对泛型机制的优化泛型委托泛型委托中的泛型类型参数可以是以下3种中的其中一种&#xff1a;什么是泛型约束泛型约束一共有6种&#xff1a;泛型中的类型约束的几种形式类型约束的组合合法的约…

PS学习-抠图-蒙版-冰块酒杯等透明物体

选中图&#xff0c;ctrlA 全选 ctrlC复制 创建一个蒙版图层 选中蒙版Alt 点击进入 ctrlv 复制 ctrli 反转 原图层 ctrldelete填充为白色 添加一个背景&#xff0c;这个方法通用 首选创建一个 拖到最底部 给它填充颜色 这个可能是我图片的原因。视频是这样做的

五子棋小游戏(sut实验报告)

实验目的 实现人与人或人与电脑进行五子棋对弈 实验内容 启动游戏&#xff0c;显示游戏参数设置界面&#xff0c;用户输入参数后进入游戏界面&#xff0c;显示棋盘及双方博弈过程&#xff0c;游戏过程中可选择退出游戏。判定一方获胜后结束本局游戏&#xff0c;可选择继续下…

Mysql挂掉怎么办

思路 从库处理&#xff0c;relaylog&#xff0c;讲从库升级主库。 待主机恢复后&#xff0c;主机替换为从库。 具体操作 简介&#xff1a; 主库宕机 Master DOWN机-企业场景一主多从宕机从库切换主继续和从同步过程详解 登陆从库&#xff0c;show processlist; 查看两个线…

20个最佳ChatGPT博客写作提示

20 Best ChatGPT Prompts for Blog Writing 在数字化时代&#xff0c;内容为王&#xff0c;持续产出高质量、吸引人的博客文章是任何作家、营销人员或企业主的重要技能。随着对新鲜和相关性内容的需求不断增长&#xff0c;挑战往往在于生成想法、构建文章结构&#xff0c;并确…

Fiddler抓不到包

fiddler该设置的设置好之后&#xff0c;为啥就是抓不到包 以下都是以谷歌浏览器为例子 方法一&#xff1a; 将fidder证书导入到浏览器&#xff0c;设置搜索证书-->安全-->管理证书 这里可以看到将证书导入之后样子&#xff0c;名字为&#xff1a;DO_NOT_TRUST_Fiddler…

Linux操作系统裸机开发-环境搭建

一、配置SSH服务 1、下载安装ssh服务输入以下命令 sudo apt-get install nfs-kernel-server portmap2、建立一个供SSH服务使用的文件夹如以下命令 mkdir linux 3、完成前两步之后需要将其文件路径放到/etc/exports文件里输入以下命令&#xff1a; sudo vi /etc/esports 4.打…

线性回归 quickstart

构建一元一次方程 100个&#xff08;X, y &#xff09;&#xff0c;大概是’y3x4’ import numpy as npnp.random.seed(42) # to make this code example reproducible m 100 # number of instances X 2 * np.random.rand(m, 1) # column vector y 4 3 * X np.random…