針對(duì)**財(cái)務(wù)公司的消費(fèi)信貸系統(tǒng)、電子商業(yè)匯票 、網(wǎng)上審批、網(wǎng)上支付、建行Winbridge、MBP銀企平臺(tái)、工行NC、建行外聯(lián)平臺(tái)、征信報(bào)送業(yè)務(wù)系統(tǒng)，一航網(wǎng)絡(luò)軟件測(cè)評(píng)中心針對(duì)用戶需求，對(duì)**集團(tuán)財(cái)務(wù)公司核心應(yīng)用系統(tǒng)進(jìn)行了漏洞掃描和滲透測(cè)試等非破壞性安全測(cè)試。

      一、測(cè)試方法

        本次滲透測(cè)試的測(cè)試方法和內(nèi)容將包括：

        1、應(yīng)用系統(tǒng)相關(guān)信息收集與分析

        2、口令強(qiáng)度測(cè)試

        3、遠(yuǎn)程溢出攻擊測(cè)試

        4、本地權(quán)限提升測(cè)試

        5、邏輯驗(yàn)證攻擊測(cè)試

        6、SQL注入攻擊測(cè)試

        7、XSS跨站腳本攻擊測(cè)試

        8、Cookies欺騙攻擊測(cè)試

        9、網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性測(cè)試

      二、風(fēng)險(xiǎn)控制措施

        本次安全測(cè)試由于采用可控制的、非破壞性質(zhì)的安全測(cè)試，因此不會(huì)對(duì)財(cái)務(wù)公司業(yè)務(wù)造成嚴(yán)重的影響。在安全測(cè)試結(jié)束后，系統(tǒng)將保持正常運(yùn)行狀態(tài)。同時(shí)采取以下手段保證安全測(cè)試對(duì)系統(tǒng)的影響最小化：

        1、在安全測(cè)試進(jìn)行之前對(duì)系統(tǒng)穩(wěn)定性進(jìn)行測(cè)試。

        2、避免采用大規(guī)模探測(cè)或DOS攻擊方式進(jìn)行測(cè)試。

        3、在安全測(cè)試結(jié)束之后對(duì)系統(tǒng)進(jìn)行測(cè)試，驗(yàn)證系統(tǒng)可穩(wěn)定進(jìn)行。

        4、不采取有損傷性的測(cè)試手段和方法。

        5、采用空閑時(shí)間段，避免了高峰時(shí)期的事故影響。

       三、測(cè)試結(jié)果

        經(jīng)過對(duì)幾個(gè)核心應(yīng)用系統(tǒng)的滲透測(cè)試進(jìn)行的全面檢測(cè)和分析，安全狀況不容樂觀，系統(tǒng)存在嚴(yán)重的漏洞和安全隱患.....。

      四、安全建議

        基于本次應(yīng)用評(píng)估的結(jié)果，經(jīng)一航網(wǎng)絡(luò)安全項(xiàng)目小組討論，建議如下：

        1、思考是否變更網(wǎng)站安全的管理模式，加強(qiáng)網(wǎng)站安全管理。

        2、強(qiáng)化統(tǒng)一的安全組織結(jié)構(gòu)，明確全員的安全策略，建立起安全文化。

        3、所有系統(tǒng)均應(yīng)考慮目前互聯(lián)網(wǎng)上最普遍的XSS攻擊和SQL注入攻擊，對(duì)用戶提交的數(shù)據(jù)合法性進(jìn)行過濾，并制定安全開發(fā)手冊(cè)規(guī)范安全開發(fā)流程。

        4、建立統(tǒng)一的安全體系，做到可評(píng)估、可測(cè)量、可控制并持續(xù)改進(jìn)。

        5、定期檢測(cè)網(wǎng)站、數(shù)據(jù)庫(kù)是否存在安全缺陷、惡意代碼。

      五、安全建議

        1、 過濾或轉(zhuǎn)換用戶提交數(shù)據(jù)中的HTML代碼，如特殊符號(hào)"<>:|'等特殊符號(hào)

        2、 限制用戶提交數(shù)據(jù)的長(zhǎng)度　

        3、禁止調(diào)用遠(yuǎn)程頁面，建議使用數(shù)字參數(shù)來調(diào)用內(nèi)部頁面

        4、上傳文件校驗(yàn)文件的內(nèi)容是否為圖片，并且圖片內(nèi)容無腳本代碼。

       一航網(wǎng)絡(luò)軟件測(cè)評(píng)中心，是一家[ 全具備CMA資質(zhì) ]的第三方軟件測(cè)評(píng)服務(wù)機(jī)構(gòu)，具有檢驗(yàn)檢測(cè)機(jī)構(gòu)資質(zhì)認(rèn)定（CMA）證書資質(zhì)，具備為企業(yè)提供軟件測(cè)試、功能測(cè)試的服務(wù)能力，出具的軟件測(cè)試報(bào)告（包括軟件登記測(cè)試報(bào)告、科技項(xiàng)目驗(yàn)收測(cè)試報(bào)告、科技成果鑒定測(cè)試報(bào)告、性能測(cè)試報(bào)告、確認(rèn)測(cè)試報(bào)告等）均可全國(guó)通用。

       為了減少您的人力和物力成本，我們可以為您提供上門測(cè)試、遠(yuǎn)程測(cè)試服務(wù)。

       服務(wù)區(qū)域：[ 全國(guó)范圍 ]

       服務(wù)熱線：[ 400-850-9950 ]