web类的应用平台软件开发商本身就应该提供性能检测,功能检测,安全检测报告。其中安全检测标准应该怎么要求?我们在此基础上做的上线前检测除了基本的漏扫,基线核查还应该包括哪些方面?如果请第三方公司做渗透检测要达到什么程度标准?
除了你上面写的性能检测,功能检测以为,上线之前还应当进行渗透测试和压力测试这两块。
渗透测试可以检测出服务器和网站的漏洞以及对服务器优化配置进行建议。
之前整理过渗透测试的一个详细服务表单,可以给你展示一下,非常全面。
服务项目 | 高级渗透服务 |
常规漏洞渗透 | 包含 |
业务逻辑漏洞 | 包含 |
系统漏洞渗透 | 包含 |
系统提权漏洞 | 包含 |
社会工程学 | 包含 |
专业报告 | 包含 |
修复建议 | 包含 |
服务器渗透测试 | l 远程桌面暴力破解 l FTP 暴力破解 l FTP/Mysql 等提权 l 恶意代码执行 l 修改 host 文件 l 加载没有数字签名的驱动 l CC 攻击 DDOS 攻击测试 l 系统以及软件漏洞测试 l 本地溢出漏洞 l ARP 欺骗测试 …… |
网站渗透测试 | l 文件上传、下载漏洞 l SQL 注入漏洞 l XSS 漏洞 l Web 中间件溢出渗透 l 网页篡改暗链、挂马渗透 l 网站盗链渗透 l PHP 远程代码执行漏洞 l 网站程序漏洞渗透 l 一句话木马 l CC 攻击和 DDOS 攻击 l 数据库漏洞 l 敏感词汇渗透 …… |
渗透测试服务项目包括两大方面:服务器渗透测试,网站渗透测试,目的就是发现平台自身存在的漏洞以及平台自身的防御程度。当然如果APP等平台上线,还要对APP进行测试。
压力测试也称为强度测试、负载测试。是模拟实际应用的软硬件环境及用户使用过程的系统负荷,长时间或超大负荷地运行测试软件,来测试被测系统的性能、可靠性、稳定性等。这方面有相关的压力测试软件,这里就不在多说。
其实,各种漏扫和测试仅仅是第一步,更重要的是根据这些检测报告进行安全防护解决方案的制定和实施,这方面是一个复杂而且专业的过程。
收起安全基线检查包括交换机、服务器操作系统、应用程序、中间件等的基线,系统上线前,均需做个检查。第三方公司渗透测试,一般各公司都有自己的标准,范围应该广泛些,包括不限于注入类、跨站类、文件上传类、应用程序版本类、信息泄露类、未授权访问类、弱口令类、命令执行类、后门类、溢出类等等。内容越多越细越好。
收起