【网站、服务器安全检测】
【网站、服务器安全检测】
作者:不详   发布于:    文字:【】【】【

网站、服务器安全检测

描述:

由于网站是处于互联网这样一个相对开放的环境中,而网站和服务器是一个整体,各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷, 病毒木马和恶意代码网上 肆虐, 黑客入侵和篡改网站的安全事件时有发生, 提高网站和服务器的安全性, 并确保能够及时发现并处理安全事件,不断地降低网站安全风险。

检测方法:

对网站、 服务器进行外部安全测试, 检测网站、 服务器漏洞, 及时保护网站、 服务器数据的安全。

检测目的:

对网站、 服务器进行全面的了解, 检测网站、 服务器的各种漏洞, 为漏洞修复提供重要的依据

检测范围:

1. 网站漏洞

1.1. 数据存储区: SQL 注入、 二次注入、 注入 NoSQL、 注入 XPath、 注入LDAP

1.2. 验证机制:设计缺陷、暴力破解登陆、可预测性、注册用户、 记住密码、密码修改、忘记密码缺陷

1.3. 会话管理:可预测性、泄露令牌、劫持令牌

1.4. 访问控制:水平权限、垂直权限、未授权访问

1.5. 后端组件:注入操作系统命令、操作文件路径、注入 XML 解释器、注入后端 HTTP 请求

1.6. 应用程序逻辑:0 元购买、无限制操作、绕过、验证码问题、修改任意密码、与机制竞争

1.7. 跨站攻击:反射型 XSS、存储型 XSS、DOM 型 XSS、请求伪造、UI伪装、数据劫持

1.8. 信息泄露:错误信息、调试信息、 公共信息、提示信息、 敏感信息

1.9. 应用程序框架:分层架构、虚拟主机、共享环境

2. 服务器漏洞

2.1. Web 服务器配置缺陷: 默认证书、默认内容、目录列表、 WebDAV 方法、Web 服务器作为代理服务器、虚拟主机配置缺陷、保障 Web 服务器配置的安全

2.2. 易受攻击的服务器软件: 应用程序框架缺陷、 内存管理漏洞、 编码与规范化漏洞、查找 Web 服务器漏洞

测试报告:

① 漏洞具体位置

② 漏洞利用方式

③ 建议解决方案

版权所有 © 深圳软为信息 粤ICP备14034040号