精华内容
下载资源
问答
  • Web应用安全配置基线指导
    2015-08-20 10:26:57

    本文使用者包括:服务器系统管理员、应用程序管理员、网络安全管理员。本文适用的范围为基于B/S架构的Web应用。
    第1章  身份与访问控制 1.1        账户锁定策略

    安全基线项目名称Web应用账户锁定策略安全基线要求项
    安全基线编号 SBL-WebAPP-02-01-01
    安全基线项说明 用户登录失败一定次数后系统自动锁定账号一段时间,以防止暴力猜测密码。
    检测操作步骤尝试使用错误用户名口令失败登录多次,
    基线符合性判定依据用户登录失败一定次数后系统自动锁定账号。
    备注 
     

    1.2        登录用图片验证码

    安全基线项目名称Web应用登录验证策略安全基线要求项
    安全基线编号 SBL-WebAPP-02-02-01
    安全基线项说明 用户登录需提供图片验证码,以防止固定密码暴力猜测账号。
    检测操作步骤检查登录认证界面输入项,并右键点击图片查看链接属性。
    基线符合性判定依据要求包含图片验证码输入项,并且图片链接属性不得包含明文图片验证码。
    备注 
     

    1.3        口令传输

    安全基线项目名称Web应用口令传输策略安全基线要求项
    安全基线编号 SBL-WebAPP-02-03-01
    安全基线项说明 不能明文传输用户登录密码。
    检测操作步骤尝试登录系统,并使用抓包工具查看交互过程中在网络传输的内容。
    基线符合性判定依据要求不得出现明文口令
    备注 
     

    1.4        保存登录功能

    安全基线项目名称Web应用保存登录安全基线要求项
    安全基线编号 SBL-WebAPP-02-04-01
    安全基线项说明 不能提供“保存登录”功能,该功能可能被利用于CSRF攻击。
    检测操作步骤检查登录界面是否提供了保存登录功能
    基线符合性判定依据不得提供该功能。
    备注 
     

    1.5        纵向访问控制

    安全基线项目名称Web应用纵向访问安全基线要求项
    安全基线编号 SBL-WebAPP-02-05-01
    安全基线项说明 合理进行纵向访问控制,不允许普通用户访问管理功能。
    检测操作步骤了解是否有不允许普通用户访问的功能,尝试直接在浏览器中访问功能链接。
    基线符合性判定依据用户不得跨权限访问受控页面
    备注 
     

    1.6        横向访问控制

    安全基线项目名称Web应用横向访问安全基线要求项
    安全基线编号 SBL-WebAPP-02-06-01
    安全基线项说明 合理进行横向访问控制,不允许用户访问其他用户的敏感数据。
    检测操作步骤了解是否存在敏感信息,检查是否对个人敏感信息进行了有效保护
    基线符合性判定依据用户不得跨权限查看其它用户受保护敏感信息
    备注 
     

    1.7        敏感资源的访问

    安全基线项目名称Web应用敏感资源访问安全基线要求项
    安全基线编号 SBL-WebAPP-02-07-01
    安全基线项说明 需要限制对敏感资源的访问,例如后台管理,日志记录等。
    检测操作步骤检查服务器的文件是否存在敏感资源,测试是否限制了这些资源的访问。
    基线符合性判定依据对敏感资源的访问应当受控。
    备注 
     

    第2章  会话管理 2.1        会话超时

    安全基线项目名称Web应用会话超时安全基线要求项
    安全基线编号 SBL-WebAPP-03-01-01
    安全基线项说明 当用户长时间不操作时,系统自动终止超时会话。
    检测操作步骤登录系统后不操作,等待合理的时间间隔。
    基线符合性判定依据要求预先设计的时间间隔后查看页面自动中止超时会话。
    备注 
     

    2.2        会话终止

    安全基线项目名称Web应用会话终止安全基线要求项
    安全基线编号 SBL-WebAPP-03-02-01
    安全基线项说明 系统需提供“退出”功能,允许用户强制终止当前的会话。
    检测操作步骤登录系统后点击系统提供的“退出”功能,然后在同一IE窗口下视图回退到登录后的页面,并访问相应的功能
    基线符合性判定依据点击退出后,上述检测操作结果不成功
    备注 
     

    2.3        会话标识

    安全基线项目名称Web应用会话标识安全基线要求项
    安全基线编号 SBL-WebAPP-03-03-01
    安全基线项说明 会话标识必须足够随机,防止攻击者猜测标识或依据当前标识推导后续的标识。
    检测操作步骤检查多个会话标识的格式。
    基线符合性判定依据多个会话标识不得存在简单明了的逻辑关系,要求具有随机性
    备注 
     

    2.4        会话标识复用

    安全基线项目名称Web应用会话标识复用安全基线要求项
    安全基线编号 SBL-WebAPP-03-04-01
    安全基线项说明 用户登录后必须分配新的会话标识,不能继续使用用户未登录前所使用的标识。
    检测操作步骤检查登录前后是否使用相同的会话标识。
    基线符合性判定依据用户登录后必须分配新的会话标识,不能继续使用用户未登录前所使用的标识。
    备注 
     

    第3章  代码质量 3.1        防范跨站脚本攻击

    安全基线项目名称Web应用防范跨站脚本安全基线要求项
    安全基线编号 SBL-WebAPP-04-01-01
    安全基线项说明 系统要防止将用户输入未经检查就直接输出到用户浏览器,防范跨站脚本攻击。
    检测操作步骤检查系统是否存在跨站脚本攻击漏洞。例如在能够回显的输入框输入<script>alert(“xss”)</script>
    基线符合性判定依据要求系统能够将输入内容中的控制字当作纯文本内容处理
    备注 
     

    3.2        防范SQL注入攻击

    安全基线项目名称Web应用防范SQL注入安全基线要求项
    安全基线编号 SBL-WebAPP-04-02-01
    安全基线项说明 系统要防止将用户输入未经检查就用于构造数据库查询,防范SQL注入攻击。
    检测操作步骤检查系统是否存在SQL注入漏洞。例如在输入框中输入’
    基线符合性判定依据系统要使用诸如prepared statement等方式防止SQL注入,将输入内容中的控制字也当作纯文本处理
    备注 
     

    3.3        防止路径遍历攻击

    安全基线项目名称Web应用防范路径遍历安全基线要求项
    安全基线编号 SBL-WebAPP-04-03-01
    安全基线项说明 系统要防止将用户输入未经检查就用于构造文件路径,防止路径遍历攻击。
    检测操作步骤尝试在URL与输入中构造文件路径并查看页面反应
    基线符合性判定依据不允许通过构造文件路径的方式直接查看文件
    备注 
     

    3.4        防止命令注入攻击

    安全基线项目名称Web应用防范命令注入安全基线要求项
    安全基线编号 SBL-WebAPP-04-04-01
    安全基线项说明 系统要防止将用户输入未经检查就用于构造操作系统命令并执行。
    检测操作步骤尝试在各个输入点进行命令注入攻击
    基线符合性判定依据命令注入攻击不得成功
    备注 
     

    3.5        防止其他常见的注入攻击

    安全基线项目名称Web应用防范其它注入安全基线要求项
    安全基线编号 SBL-WebAPP-04-05-01
    安全基线项说明 防止系统存在LDAP注入、XML注入、XPATH注入、SMTP注入等漏洞。
    检测操作步骤尝试在各个输入点进行其它常见注入攻击
    基线符合性判定依据各类注入攻击不得成功
    备注 
     

    3.6        防止下载敏感资源文件

    安全基线项目名称Web应用防范下载漏洞安全基线要求项
    安全基线编号 SBL-WebAPP-04-06-01
    安全基线项说明 如果系统提供了下载功能,要防止用户通过路径遍历漏洞下载敏感资源文件。
    检测操作步骤如果系统提供了下载功能,试图通过路径遍历漏洞下载敏感资源文件。
    基线符合性判定依据各类下载攻击不得成功
    备注 
     

    3.7        防止上传后门脚本

    安全基线项目名称Web应用防范上传漏洞安全基线要求项
    安全基线编号 SBL-WebAPP-04-07-01
    安全基线项说明 如果系统提供了文件上传功能,要防止用户上传后门脚本。
    检测操作步骤如果系统提供了上传功能,试图通过上传功能上传恶意文件。
    基线符合性判定依据各类上传攻击不得成功
    备注 
     

    3.8        保证多线程安全

    安全基线项目名称Web应用多线程安全基线要求项
    安全基线编号 SBL-WebAPP-04-08-01
    安全基线项说明 如果系统某资源可被多人同时修改,或被同一用户经过不同的方式同时修改,或被用户线程与系统线程同时修改,需要保证多线程安全。
    检测操作步骤如果系统存在多线程问题,分析保护多线程访问资源的安全解决方案
    基线符合性判定依据必须有适当的解决方案
    备注 
     

    3.9        保证释放资源

    安全基线项目名称Web应用释放资源基线要求项
    安全基线编号 SBL-WebAPP-04-09-01
    安全基线项说明 系统需保证在正常与异常流程时都能正确释放不需要的资源,例如打开的文件,数据库连接等。
    检测操作步骤分析正常与异常流程中资源释放的动作
    基线符合性判定依据资源释放覆盖所有流程分支
    备注 
     

    第4章  内容管理 4.1        加密存储敏感信息

    安全基线项目名称Web应用加密存储敏感信息基线要求项
    安全基线编号 SBL-WebAPP-05-01-01
    安全基线项说明 系统应当加密存储敏感信息,如密码、信用卡号等。
    检测操作步骤分析系统中敏感信息的存储与加密
    基线符合性判定依据要求加密算法安全,对信息有适当访问控制
    备注 
     

    4.2        避免泄露敏感技术细节

    安全基线项目名称Web应用信息泄漏基线要求项
    安全基线编号 SBL-WebAPP-05-02-01
    安全基线项说明 系统应当避免向用户提示过多的技术细节,防止被攻击者利用。例如错误信息中可能包含SQL语句,这有利于攻击者构造合法的攻击字串;又如Html中可能包含了技术性的注释语句,可能被攻击者利用。
    检测操作步骤分析各个页面的源码,查看提示页面,尤其是出错提示页面
    基线符合性判定依据各个页面不得包含技术性注释,各个提示页面不得包含Web服务器版本、源代码等信息
    备注 
     

    第5章  防钓鱼与防垃圾邮件 5.1        防钓鱼

    安全基线项目名称Web应用重定向基线要求项
    安全基线编号 SBL-WebAPP-06-01-01
    安全基线项说明 系统应当避免通过用户控制的参数来重定向或包含另外一个网站的内容。
    检测操作步骤分析系统存在任意重定向或包含其它网站内容的控制
    基线符合性判定依据不得由用户控制的参数生成重定向
    备注 
     

    5.2        防垃圾邮件

    安全基线项目名称Web应用垃圾邮件基线要求项
    安全基线编号 SBL-WebAPP-06-02-01
    安全基线项说明 如果系统提供了发送邮件的功能,应当防止被利用于发送垃圾邮件。
    检测操作步骤检查系统发送邮件功能
    基线符合性判定依据不得存在滥用此功能的可能
    备注 
     

    第6章  密码算法 6.1        安全算法

    安全基线项目名称Web应用安全算法基线要求项
    安全基线编号 SBL-WebAPP-07-01-01
    安全基线项说明 如果系统采用了密码算法,应当采用安全的密码算法,且符合算法的应用场景。
    检测操作步骤检查所有系统中使用的安全算法
    基线符合性判定依据不得使用已经被证明为不安全的算法或者自定义不安全算法
    备注 
     

    6.2        密钥管理

    安全基线项目名称Web应用密钥管理基线要求项
    安全基线编号 SBL-WebAPP-07-02-01
    安全基线项说明 如果系统采用了密码算法,且拥有密钥,那么应当有文档化的密钥管理办法并严格遵照执行。
    检测操作步骤检查所有系统中使用的密钥管理
    基线符合性判定依据不得使用不安全的密钥管理办法
    备注 

    更多相关内容
  • 本文档主要内容包括web安全测试的内容和具体办法指导,主要适用于测试工程师,测试负责人、运维人员和应用负责人。
  • 在线内容的主要部分是基于文本的... 而是尝试使用Sassline ,这是一个免费的基于Sass的库,用于在Web上创建完美的网格线。 使用CSS创建的15种精美文字效果 .no-js #ref-block-post-23417 .ref-block__thumbnail ...

    在线内容的主要部分是基于文本的,但是除非排版设计得当,否则人们不会对阅读您网站上的文本感兴趣。

    您可能会使用自定义框架,但是它们可能会受到限制 。 而是尝试使用Sassline ,这是一个免费的基于Sass的库,用于在Web上创建完美的网格线。

    sassline主页网格

    该免费工具可在Sass上使用,因此您首先需要了解使用该预处理语言的方式。 如果您还不熟悉 Web开发,那么在开始使用Sassline之前,最好先练习CSS和Sass

    但是,一旦您学会了它,就永远不会再用相同的方式设计布局。

    它使用rem单位创建适合您的文本的自定义基线 。 这包括您的所有标题,段落,块引用以及所有内容。

    Sassline带有响应断点,因此您可以基于Sassline网格自动调整文本大小(和行高)。 这依赖于Sass mixins ,如果您想使用它们,则需要Sass经验。

    因此,我向有经验的Web开发人员特别推荐此工具,以改善他们的工作流程。

    sass排版网格预览

    另外,如果您愿意对代码进行一些小的调整,则可以将其添加到Bootstrap之类的前端框架中。 整个Sassline库都是超级通用的 ,应该成为各地Sass爱好者的必备品

    要开始使用,请访问GitHub主仓库并下载源文件的副本。

    您还将找到设置说明,以及指向这篇很棒的博客文章的链接, 这些文章将按功能逐一指导Sassline库。


    翻译自: https://www.hongkiat.com/blog/create-baseline-grids-using-sassline/

    展开全文
  • Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。在漏洞扫描实战过程中,一般会首选AWVS,因为这个能扫描出来的漏洞很多,而

    渗透测试阶段信息收集完成后,需根据所收集的信息,扫描目标站点可能存在的漏洞,包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,然后通过这些已知的漏洞,寻找目标站点存在攻击的入口。那么今天我们就介绍几款常用的WEB应用漏洞扫描工具。

    一、AWVS

    Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。在漏洞扫描实战过程中,一般会首选AWVS,因为这个能扫描出来的漏洞很多,而且使用比较简单。

    点评:强大的漏洞扫描器,漏洞库大而全,可以说市面上最出色的漏洞扫描器

    官方网站:https://www.acunetix.com/
    AWVS扫描器使用说明文档:https://www.wangan.com/docs/acunetixweb

    二、APPScan

    IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。

    点评:AppScan 好处在于误报是最少的,相比WVS扫描更慢,建议配合使用

    官方网站:https://www.hcltechsw.com/products/appscan
    详细使用说明文档:https://www.wangan.com/docs/hcl1001

    三、Nikto

    Nikto是一款开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。Nikto可以在短时间内扫描服务器的多个端口,Nikto因其效率和服务器强化功能而受到青睐。

    在这里插入图片描述

    点评:Nikto作为开源的漏洞扫描器,基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。

    Github地址:https://github.com/sullo/nikto
    详细使用说明文档:https://www.wangan.com/docs/nikto2

    四、OpenVAS

    OpenVAS(开放式漏洞评估系统)是一个客户端/服务器架构,它常用来评估目标主机上的漏洞。OpenVAS是Nessus开始收费后,独立出来的一个开源的扫描器,OpenVAS默认安装在标准的Kali Linux上。

    点评:OpenVAS具有强大的系统和设备扫描器,缺点是扫描速度慢,占用磁盘空间较大。

    官方网站:https://www.openvas.org/
    详细使用说明文档:https://www.wangan.com/docs/openvas

    五、Xray

    Xray是一款功能强大的安全评估工具,检测速度快(发包速度快,漏洞检测算法高效);支持范围广(大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持);编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。

    Xray支持的漏洞检测类型包括XSS漏洞检测 (key: xss)、SQL 注入检测 (key: sqldet)、命令/代码注入检测 (key: cmd-injection)、目录枚举 (key: dirscan)、路径穿越检测 (key: path-traversal)、XML 实体注入检测 (key: xxe)、文件上传检测 (key: upload)、弱口令检测 (key: brute-force)、jsonp 检测 (key: jsonp)、ssrf 检测 (key: ssrf)、基线检查 (key: baseline)、任意跳转检测 (key: redirect)、CRLF 注入 (key: crlf-injection)、Struts2 系列漏洞检测 (高级版key: struts)、Thinkphp系列漏洞检测 (高级版key: thinkphp)、POC 框架 (key: phantasm)。

    点评:Xray是一款基于Go语言开发的漏洞扫描器,支持导入poc扫描,不过团队对poc的质量要求很高,导致现在poc数量比较少

    官方网站:https://xray.cool/
    详细使用说明文档:https://docs.xray.cool/#/tutorial/introduce

    在这里插入图片描述

    展开全文
  • 内涵APK类、APP类、DB类、OS类、Protocol类、Web安全用例基线库以及基线检测工具和脚本。
  • WEB安全测试用例

    2014-02-20 16:24:08
    WEB安全测试用例,SQL注入,漏洞扫描
  • web应用安全基线-nginx安全配置

    千次阅读 2016-11-22 14:33:00
     Nginx是一款轻量级的web服务器/反向代理服务器及电子邮件代理服务器。其特点是占用内存少,并发能力强。  Nginx漏洞查询: http://nginx.org/en/security_advisories.html   0x01 Nginx 漏洞 1. 文件...

    Title:Linux-nginx安全配置

    nginx 测试版本:nginx 1.x

    0x00 Nginx简介

            Nginx是一款轻量级的web服务器/反向代理服务器及电子邮件代理服务器。其特点是占用内存少,并发能力强。

            Nginx漏洞查询:http://nginx.org/en/security_advisories.html 

    0x01 Nginx 漏洞

    1. 文件类型错误解析漏洞

    成因:由配置导致的安全问题

    漏洞危害:利用该漏洞,攻击者可将任意文件类型作为PHP文件解析,通常是利用该漏洞获取webshell。

    漏洞利用方式:假设某服务器存在该漏洞,攻击者可通过上传包含PHP网马的图片来获取网站的webshell。

    安全加固方案:

        (1)方案一:修改php.ini文件,将cgi.fix_pathinfo 的值设置为0;(该方法简单粗暴,可能会造成系统不稳定,故此方案不可取)

        (2)方案二:在nginx配置文件中添加以下代码:

            if( $fastcgi_script_name ~ \..*\/.*php){

    return 403;

    }

    注:新的 php-fpm 已经关闭了 cgi.fix_pathinfo参数

    2. Nginx配置错误导致目录遍历漏洞

    成因:由配置导致的安全问题

    漏洞利用方式:

    错误配置:

        location  /ceshi {

                alias            html/ceshi/;

                autoindex    on; 

    }

    正确配置(相对):

        location /ceshi {

                    alias              html/ceshi;

                    autoindex      on;

    }

    注:nginx默认是不允许列出整个目录的,最好的方法是禁用autoindex,即autoindex off或没有autoindex配置。

    0x02. nginx 安全加固方案

    1. 版本选择

    生产环境中,优先选择最新的稳定版本;测试环境测试通过后再进行上线;

    安装过程中,建议采用自定义安装路径,避免默认路径导致被黑客或自动化安全扫描工具猜解;

    2. 修改/隐藏 Banner信息

        以源码方式安装nginx时,可通过修改 src/core/nginx.h 中的信息达到修改或隐藏Banner信息的目的。

    #define NGINX_VERSION   "XXXX"

    #define NGINX_VER           "XXXX"

    3. 关闭服务器标记

    server_tokens off

    4. 禁用autoindex

    autoindex off

    5. 禁用非必要方法

       if ($request_method !~ ^(GET|HEAD|POST)$ ) { return 404; }

    6.设置自定义缓存缓解缓冲区溢出攻击(数值根据实际情况设置)

     client_header_buffer_size 32k;

     large_client_header_buffers 4 32k;

     client_max_body_size 8m; 

    7. 缓解DOS攻击

    【timeout设低阀值】

     keepalive_timeout 10;

     client_header_timeout 3m;

     client_body_timeout 10;

     send_timeout 10;

    【限制用户连接数】

    limit_zone slimits $binary_remote_addr 5m;
    limit_conn slimits 5;

    【防火墙进行设置】

    8. 日志

    修改日志默认保存路径,规范日志格式,进行日志切割。可采用elk等进行大数据日志采集,进行日志采集,通常用于业务日志分析及安全事件溯源分析。

    9. nginx权限设置

    尽量以普通用户权限运行nginx服务,避免当服务被攻击沦陷后,黑客直接拿到root权限。

    网站目录权限设置遵循的原则:rwx三者的权限要明确。上传目录可数据库目录一般需分配w权限,不用分配x权限;其他目录一般分配r权限即可。

    10.配置nginx.conf禁止访问的文件夹,比如后台;配置nginx.conf禁止访问的文件类型,比如一些txt日志文件等;

    转载于:https://my.oschina.net/secscorpio/blog/792125

    展开全文
  • 安全基线

    2021-01-07 19:32:32
    所以:业务系统的安全基线=为了满足业务可用性、保密性、完整性需求而使用的安全能力,以及安全能力上为业务系统配置的安全策略。 按照预期正常工作的基线本身就已经能够减少大部分风险。基线安全基线应该根据企业...
  • 软件公司安全测试基线

    千次阅读 2013-10-15 13:03:37
    安全架构           安全层 描述   总的描述 一个业务系统往往都包括很多部分和层面,每一个部分和层面都可能存在安全漏洞从而成为被攻击的对象,每个...
  • tomcat 测试版本 :tomcat7,tomcat8   0x00 删除默认目录 tomcat部署完毕,删除 $CATALINA_HOME/webapps下默认的全部目录文件 eg: rm -rf /opt/tomcat8/webapps/* 相关案例:Apache-tomcat样例...
  • CIS安全基线

    千次阅读 2020-10-20 11:23:36
    0x3 --Ubuntu安全基线检查190621 0x3.5 --SSH登录安全策略、账户-密码 0x4 --Windows基线检查(按照CIS-Linux Windows 2008 R2最新基线标准进行系统层面基线检测) 0x5 --CIS 各种基线附件 0x1 Centos7 基线检查 描述...
  • 安全测试是一门技术岗位,主要还是考察技术,其实有没有什么证书并不重要。在真正的大企业就业招聘过程中,比较看重的证书可能也就只有学历证书或者四六级英语证书,因为这些也都是硬性条件。有很多网络安全内容都是...
  • Jenkins安全基线

    2021-12-28 15:03:59
    Jenkins安全基线 访问控制 1.高危-启用Jenkins安全性设置 描述: 默认情况下,匿名用户没有权限,而登录的用户具有完全的控制权。用户可以使用用户名和密码登录,以执行匿名用户不可用的操作。哪些操作要求用户登录取...
  • web测试之性能测试

    千次阅读 2021-06-08 11:00:38
    web测试之性能测试个人总结 目录 一、链接测试 目录 一、链接测试 二、表单测试 三、Cookie/session测试 四、数据库测试 五、其他细分测试 1.删除测试 2.搜索测试 二、表单测试 三、Cookie/session...
  • QB--- 版本号 版本号1.0.0 前言 本规范是针对操作系统网络设备数据库中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准是中国移动管理信息系统产品准入入网测试工程验收系统运维配置自我评估安全加固的...
  • 安全基线项目名称 Tomcat 共享帐号管理安全基线要求项 安全基线编号 tomcat-001 安全基线项说明 应按照用户分配帐号,避免不同用户间共享帐号。 ...
  • nginx安全基线检测

    千次阅读 2022-03-31 16:56:37
    1.Nginx后端服务指定的Header隐藏状态 隐藏Nginx后端服务X-Powered-By头 加固建议 隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf配置文件...2.Nginx的WEB访问日志记录状态 应为每个核心站点启用access
  • 华为产品安全基线

    千次阅读 2019-07-27 18:10:39
    一、敏感信息安全传输 1、采用HTTPS安全协议传输 2、客户端本地保存的敏感信息,需要先加密再保存使用,不可逆支持PBKDF2(迭代10000次)加密保存,可逆支持AES256+IV保存,密钥支持可更新 二、认证鉴权 1、...
  • 文末以Wazuh为例,介绍如何自定义基线检测。 基本检测 特权账户检测 检测规则:通过之前的信息搜集模块搜集到的用户信息,判断是否存在uid=0且用户名不为root的特权账户。 代码实现: 检查是否存在UID=0的用户(超级...
  • Tomcat 安全基线检查

    千次阅读 2020-05-20 11:25:06
    tomcat-manger是Tomcat提供的web应用热部署功能,该功能具有较高权限,会直接控制Tomcat应用,应尽量避免使用此功能。如有特殊需求,请务必确保为该功能配置了强口令 加固建议 编辑Tomcat根目录下的配置文件conf/...
  • Web功能/回归测试工具

    2021-06-25 10:44:39
    适当的测试工具可帮助你在更短的周期内消除错误,让你的Web应用程序在功能和市场方面准备就绪。大多数bug是归咎于是网站/ Web应用程序中的功能问题。下面是一些选择的Web功能/回归测试工具,供你快速参考。50....
  • 本自由整理出常见的网络安全报告模板合集,以备不时之需。 一、安全风险访谈表 集权系统访谈表 网络划分访谈表 应用系统访谈表 针对定向网络攻击主要风险分析访谈检查表 ...B-Web安全服务渗透测试模板
  • 手动测试将始终在开发中发挥作用,但自动化测试可确保更高质量的最低基线。此外,它还降低了成本,确保了可操作的结果,并简化了整个审查过程。 自动化 Web UI 测试是另一种在开发团队的工作流程中左移质量验证的...
  • 目录 Windows 一 身份鉴别 二 访问控制 三 安全审查 四 入侵防范 五、恶意代码防范 六、其他 Linux 一、身份鉴别 二、访问控制 三、安全审计 四、入侵防范 Windows 一 身份鉴别 1 应对登录的用户进行身份标识和鉴别...
  • 目录 网络隔离与访问控制 安全策略 网络边界安全 与生产环境边界 安全策略 ...安全策略 ...安全策略 ...安全服务 ...安全管理 ...图1 开发测试环境安全解决方案全景图 根据业务特点,由于开发测试环境仅供...
  • 事实上,在《web安全之机器学习入门》中,我们已经了解过该数据集。 我们将恶意内部人员和内部员工的异常操作统称为恶意操作。检测这种恶意操作需要使用高级技术,比如用户行为分析(User Behawiors Analysis,UBA...
  • Web应用程序测试工具Top20

    千次阅读 2018-07-31 20:18:19
    Web应用程序测试工具可提高可靠性,缩短周转时间并提高ROI。 它们是各种类型的工具,可以协助从需求捕获到测试管理等各种Web测试活动。以下是包含主要功能和下载链接的顶级Web测试工具的精选列表。 下面介绍了一些...
  • 阿里基线安全

    2020-03-09 00:41:48
    禁用local_infile选项 高危 编辑Mysql配置文件/etc/my.cnf,在[mysqld] 段落中配置local-infile参数为0,并重启mysql服务: ``` local-infile=0 ``` 阿里云标准-Mysql安全 服务配置 删除'test'数据库 测试数据库可...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,303
精华内容 1,721
关键字:

web安全测试基线

友情链接: STM32F103 DAC实验.zip