一个完整的门户网站安全体系测试应该从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手。
但是常见的安全性缺陷和漏洞有:
一、缓冲区溢出,已经成为应用系统安全的主要威胁之一了。
通常有两种原因:
1、设计空间的转换规则的校验问题。即缺乏对可测数据的校验,导致非法数据没有在外部输入层被检查出来并丢弃。
2、局部测试空间和设计空间不足。当合法数据进入后,由于程序实现层对应的测试空间或设计空间不足,导致程序处理时出现溢出。
二、权限过大,如果赋予过大的权限,***可能导致只有普通用户权限的恶意用户利用过大的权限做出危害安全的操作。例如没有对能操作的内容做出限制,***可能导致用户可以访问超过他权限的资源。将影响到整个系统的数据安全,其他关于系统中所做的安全(数据的加密、完整性)也***没有了意义。
三、错误处理,一般情况下,在做出错误处理的时候,系统都会返回一些信息给用户,比如中间件信息。这一类的信息没有做到隐藏,可能会被恶意用户利用来进行攻击并获取用户数据。常见报错:404。在测试中,一定要注意对系统反馈信息的收集因为在现实环境中,非法用户的攻击都是出信息收集开始的。
四、加密弱点,在平时的测试工作中,在访谈开发人员时很多时候他们的有对系统重要信息进行加密,但是在我们上工具(抓包、漏洞扫描)时***会发现:
1、用不安全的加密算法。加密算法强度不够,一些加密算法甚至可以用简单字典***能通过穷举的方法进行破解。像MD5加密,有些*********只是做了简单的转换,通过抓取的信息在已转换***能得到详细的用户信息。
2、加密数据时密码是由伪随机算法产生的,而产生伪随机数的方法存在缺陷,这样***导致密码容易被破解。
3、客户机与服务器时钟未同步,给攻击者足够的时间来破解密码或修改数据。
以上的门户网站均是在测试时,访问量不大的政企门户网站。从中央开始清查全国党政企业的“僵尸网站”起等保测试中这块业务的比重***在增加,在上述的常见安全问题中还有***是管理制度的不到位也是我们在测评工作中注意的******。
联系人:宋经理
座机:028-86677012
邮箱:cdjxgf@cdjxcm.com
地址:成都市武侯区长华路19号万科汇智中心30楼