上线前检测除了基本的漏扫,基线核查还应该包括哪些方面?

web类的应用平台软件开发商本身就应该提供性能检测,功能检测,安全检测报告。其中安全检测标准应该怎么要求?我们在此基础上做的上线前检测除了基本的漏扫,基线核查还应该包括哪些方面?如果请第三方公司做渗透检测要达到什么程度标准?

5回答

liming7liming7  产品经理 , 北京椒图科技
super1260roundtripnicknwm赞同了此回答
除了你上面写的性能检测,功能检测以为,上线之前还应当进行渗透测试和压力测试这两块。渗透测试可以检测出服务器和网站的漏洞以及对服务器优化配置进行建议。之前整理过渗透测试的一个详细服务表单,可以给你展示一下,非常全面。渗透测试服务项目一览     ...显示全部

除了你上面写的性能检测,功能检测以为,上线之前还应当进行渗透测试和压力测试这两块。

渗透测试可以检测出服务器和网站的漏洞以及对服务器优化配置进行建议。

之前整理过渗透测试的一个详细服务表单,可以给你展示一下,非常全面。

渗透测试服务项目一览

                
  

服务项目

  
  

高级渗透服务

  
  

常规漏洞渗透

  
  

包含

  
  

业务逻辑漏洞

  
  

包含

  
  

系统漏洞渗透

  
  

包含

                
  

系统提权漏洞

  
  

包含

  
  

社会工程学

  
  

包含

  
  

专业报告

  
  

包含

  
  

修复建议

  
  

包含

  

渗透服务详情

        
  






               服务器渗透测试

  
  

l 远程桌面暴力破解

  

l FTP 暴力破解

  

l FTP/Mysql 等提权

  

l 恶意代码执行

  

l 修改 host 文件

  

l 加载没有数字签名的驱动

  

l CC 攻击 DDOS 攻击测试

  

l 系统以及软件漏洞测试

  

l 本地溢出漏洞

  

l ARP 欺骗测试

  

……

  
  







                   网站渗透测试

  
  

l 文件上传、下载漏洞

  

l SQL 注入漏洞

  

l XSS 漏洞

  

l Web 中间件溢出渗透

  

l 网页篡改暗链、挂马渗透

  

l 网站盗链渗透

  

l PHP 远程代码执行漏洞

  

l 网站程序漏洞渗透

  

l 一句话木马

  

l CC 攻击和 DDOS 攻击

  

l 数据库漏洞

  

l 敏感词汇渗透

  

……

  

渗透测试服务项目包括两大方面:服务器渗透测试,网站渗透测试,目的就是发现平台自身存在的漏洞以及平台自身的防御程度。当然如果APP等平台上线,还要对APP进行测试。

压力测试也称为强度测试、负载测试。是模拟实际应用的软硬件环境及用户使用过程的系统负荷,长时间或超大负荷地运行测试软件,来测试被测系统的性能、可靠性、稳定性等。这方面有相关的压力测试软件,这里就不在多说。

其实,各种漏扫和测试仅仅是第一步,更重要的是根据这些检测报告进行安全防护解决方案的制定和实施,这方面是一个复杂而且专业的过程。

收起
 2016-05-18
浏览7605
zhangjian85zhangjian85  技术经理 , 泰康
zhou42544roundtrip赞同了此回答
安全测试标准可以参考:OWASP测试指南GB/T20984-2007信息安全技术 信息安全风险评估规范GB/T18336-2001 信息技术-安全技术-信息技术安全性评估准则显示全部

安全测试标准可以参考:

OWASP测试指南

GB/T20984-2007信息安全技术 信息安全风险评估规范

GB/T18336-2001 信息技术-安全技术-信息技术安全性评估准则

收起
 2016-05-18
浏览6107
追梦人456追梦人456  其它 , 青岛
roundtrip赞同了此回答
我也较为同意:安全测试标准可以参考:OWASP测试指南GB/T20984-2007信息安全技术 信息安全风险评估规范GB/T18336-2001 信息技术-安全技术-信息技术安全性评估准则显示全部

我也较为同意:安全测试标准可以参考:

OWASP测试指南

GB/T20984-2007信息安全技术 信息安全风险评估规范

GB/T18336-2001 信息技术-安全技术-信息技术安全性评估准则

收起
 2016-06-01
浏览5874
dengtingxundengtingxun  安全工程师 , 银河证券
roundtrip赞同了此回答
安全基线检查包括交换机、服务器操作系统、应用程序、中间件等的基线,系统上线前,均需做个检查。第三方公司渗透测试,一般各公司都有自己的标准,范围应该广泛些,包括不限于注入类、跨站类、文件上传类、应用程序版本类、信息泄露类、未授权访问类、弱口令类、命令执行类、后门...显示全部

安全基线检查包括交换机、服务器操作系统、应用程序、中间件等的基线,系统上线前,均需做个检查。第三方公司渗透测试,一般各公司都有自己的标准,范围应该广泛些,包括不限于注入类、跨站类、文件上传类、应用程序版本类、信息泄露类、未授权访问类、弱口令类、命令执行类、后门类、溢出类等等。内容越多越细越好。

收起
 2016-05-18
浏览5995
匿名用户匿名用户
有很多测试呀,压力测试什么的。显示全部

有很多测试呀,压力测试什么的。

收起
 2020-04-10
浏览2274

提问者

liur安全工程师, 宏源证券

问题状态

  • 发布时间:2016-05-18
  • 关注会员:6 人
  • 问题浏览:12025
  • 最近回答:2020-04-10