針對**財(cái)務(wù)公司的消費(fèi)信貸系統(tǒng)、電子商業(yè)匯票 、網(wǎng)上審批、網(wǎng)上支付、建行Winbridge、MBP銀企平臺、工行NC、建行外聯(lián)平臺、征信報(bào)送業(yè)務(wù)系統(tǒng)，一航網(wǎng)絡(luò)軟件測評中心針對用戶需求，對**集團(tuán)財(cái)務(wù)公司核心應(yīng)用系統(tǒng)進(jìn)行了漏洞掃描和滲透測試等非破壞性安全測試。

      一、測試方法

        本次滲透測試的測試方法和內(nèi)容將包括：

        1、應(yīng)用系統(tǒng)相關(guān)信息收集與分析

        2、口令強(qiáng)度測試

        3、遠(yuǎn)程溢出攻擊測試

        4、本地權(quán)限提升測試

        5、邏輯驗(yàn)證攻擊測試

        6、SQL注入攻擊測試

        7、XSS跨站腳本攻擊測試

        8、Cookies欺騙攻擊測試

        9、網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性測試

      二、風(fēng)險(xiǎn)控制措施

        本次安全測試由于采用可控制的、非破壞性質(zhì)的安全測試，因此不會對財(cái)務(wù)公司業(yè)務(wù)造成嚴(yán)重的影響。在安全測試結(jié)束后，系統(tǒng)將保持正常運(yùn)行狀態(tài)。同時(shí)采取以下手段保證安全測試對系統(tǒng)的影響最小化：

        1、在安全測試進(jìn)行之前對系統(tǒng)穩(wěn)定性進(jìn)行測試。

        2、避免采用大規(guī)模探測或DOS攻擊方式進(jìn)行測試。

        3、在安全測試結(jié)束之后對系統(tǒng)進(jìn)行測試，驗(yàn)證系統(tǒng)可穩(wěn)定進(jìn)行。

        4、不采取有損傷性的測試手段和方法。

        5、采用空閑時(shí)間段，避免了高峰時(shí)期的事故影響。

       三、測試結(jié)果

        經(jīng)過對幾個核心應(yīng)用系統(tǒng)的滲透測試進(jìn)行的全面檢測和分析，安全狀況不容樂觀，系統(tǒng)存在嚴(yán)重的漏洞和安全隱患.....。

      四、安全建議

        基于本次應(yīng)用評估的結(jié)果，經(jīng)一航網(wǎng)絡(luò)安全項(xiàng)目小組討論，建議如下：

        1、思考是否變更網(wǎng)站安全的管理模式，加強(qiáng)網(wǎng)站安全管理。

        2、強(qiáng)化統(tǒng)一的安全組織結(jié)構(gòu)，明確全員的安全策略，建立起安全文化。

        3、所有系統(tǒng)均應(yīng)考慮目前互聯(lián)網(wǎng)上最普遍的XSS攻擊和SQL注入攻擊，對用戶提交的數(shù)據(jù)合法性進(jìn)行過濾，并制定安全開發(fā)手冊規(guī)范安全開發(fā)流程。

        4、建立統(tǒng)一的安全體系，做到可評估、可測量、可控制并持續(xù)改進(jìn)。

        5、定期檢測網(wǎng)站、數(shù)據(jù)庫是否存在安全缺陷、惡意代碼。

      五、安全建議

        1、 過濾或轉(zhuǎn)換用戶提交數(shù)據(jù)中的HTML代碼，如特殊符號"<>:|'等特殊符號

        2、 限制用戶提交數(shù)據(jù)的長度　

        3、禁止調(diào)用遠(yuǎn)程頁面，建議使用數(shù)字參數(shù)來調(diào)用內(nèi)部頁面

        4、上傳文件校驗(yàn)文件的內(nèi)容是否為圖片，并且圖片內(nèi)容無腳本代碼。

       一航網(wǎng)絡(luò)軟件測評中心，是一家[ 全具備CMA資質(zhì) ]的第三方軟件測評服務(wù)機(jī)構(gòu)，具有檢驗(yàn)檢測機(jī)構(gòu)資質(zhì)認(rèn)定（CMA）證書資質(zhì)，具備為企業(yè)提供軟件測試、功能測試的服務(wù)能力，出具的軟件測試報(bào)告（包括軟件登記測試報(bào)告、科技項(xiàng)目驗(yàn)收測試報(bào)告、科技成果鑒定測試報(bào)告、性能測試報(bào)告、確認(rèn)測試報(bào)告等）均可全國通用。

       為了減少您的人力和物力成本，我們可以為您提供上門測試、遠(yuǎn)程測試服務(wù)。

       服務(wù)區(qū)域：[ 全國范圍 ]

       服務(wù)熱線：[ 400-850-9950 ]