返回
网站应用评估白皮书

网站应用评估白皮书

ID:18143611

大小:173.00 KB

页数:16页

时间:2018-09-14

网站应用评估白皮书_第1页
网站应用评估白皮书_第2页
网站应用评估白皮书_第3页
网站应用评估白皮书_第4页
网站应用评估白皮书_第5页
资源描述:

《网站应用评估白皮书》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网站应用评估白皮书目录一.概述11.1基本概念11.2WEB应用评估服务与风险评估服务11.3WEB应用评估服务的必要性11.4客户收益2二.评估内容32.1评估范围32.2外部评估32.2.1系统、应用漏洞扫描32.2.2WEB安全测试42.3内部评估42.3.1系统安全配置42.3.2应用安全配置52.3.3数据库安全配置52.3.4恶意代码检测62.3.5Web日志分析62.3.6网页挂马检测62.3.7WebShell检测72.4评估流程7三.相关技术83.1信息采集技术83.1.1系统和应用信息收集83

2、.1.2应用信息收集83.2溢出攻击83.3口令猜解83.4WEB漏洞挖掘技术93.4.1跨站脚本93.4.2注入漏洞93.4.3参数错误103.4.4信息泄露103.4.5其他10四.风险规避104.1时间114.2工具使用114.3技术手段11阿波罗评估平台http://www.iapolo.com4.4监控114.5目标的选择114.6操作记录文档12五.报告输出12六.常用工具126.1日志分析工具126.2信息收集工具126.3溢出及口令猜解工具136.4WEB漏洞挖掘工具136.5数据库工具13阿波罗

3、评估平台http://www.iapolo.com概述1.1基本概念WEB应用评估服务是由具备高技能和高素质的安全服务人员来进行的,通过对目标WEB应用系统进行一系列的深入检查和测试,来综合评估应用系统存在的漏洞和脆弱性问题,并针对存在的问题提出确实可行的改进建议的一种安全服务形式。WEB应用评估服务的目的在于发现和指导客户解决其WEB应用系统存在的安全性问题和隐患,解决长期困扰管理人员的应用是否真正安全的疑问。1.2WEB应用评估服务与风险评估服务WEB应用评估服务并不等同于传统的风险评估服务,他们的区别主要体

4、现在服务的目标和服务实施时间的跨度上。WEB应用评估服务是一种针对性很强的服务,它所服务的目标就是以WEB应用为核心的应用系统,强调的是保证了WEB应用的安全也就是保证了整个业务系统安全的理念。而风险评估则不局限于只针对WEB应用,它可以面向整个企业的信息安全体系架构,也可以仅针对某个具体的业务系统。另一方面,WEB应用评估注重快速反应,与传统风险评估服务冗长的周期相比,WEB应用评估能够让客户在更短的时间内掌握应用所面临的问题,并准确地进行修补。WEB应用评估中的每一个评估项都是非常细致和专业的,它主要从应用中

5、相对较脆弱的软件部分着手来发现应用的安全问题;这与传统风险评估服务的全面覆盖截然不同。例如:传统风险评估中涉及的物理安全问题,在WEB应用评估中将不会涉及。1.3WEB应用评估服务的必要性-14-©2021阿波罗评估平台http://www.iapolo.com密级:完全公开进入二十一世纪以后,互联网飞速发展,WEB应用凭借其开发成本低、表现能力强、使用方便、稳定性好等特点开始逐渐替代大多数C/S模式应用,成为应用面最广的网络应用形式。目前,它已经广泛适用于企业门户、OA、电子邮件、财务、电子商务等领域。随着应用

6、范围的扩大,随之而来的安全问题也在与日俱增,如何保证基于WEB的应用系统安全可靠运行已经成为企业管理人员的头疼的大事。过去,WEB应用评估问题上,管理人员认为最为直接有效地评估安全性的手段是渗透测试。这种模拟黑客攻击思路的黑盒测试方法确实在一定程度上提高了WEB应用的安全性,但这种方式就真的能够彻底解决网站的安全性问题吗?答案当然是否定的。纵观以往曾发生过的很多安全事件,通过渗透测试的应用不在少数,但往往还是会出现各种安全问题。主要是因为渗透测试工作的成效与服务人员的知识技能、工作时间、环境等因素有着密切地联系,

7、可见,渗透测试并不能百分之百发现WEB应用存在的问题。那么,究竟怎样做才能更加有效地保证WEB应用的安全呢?WEB应用评估服务正是专门服务于这样一个需求的新型服务形态。严格来说,WEB应用平复服务并非一种全新的服务,它只是将一些传统的风险评估服务经过改良后有机地结合起来,使其更加适用于WEB应用的安全评估。它从网络、系统、应用、管理等多个层面和角度来分析WEB应用的脆弱性及可能面临的威胁,病针对发现的问题提出确实可行的解决方案,帮助企业管理者保证其应用的安全。1.1客户收益对于客户而言,WEB应用评估服务可以为其

8、带来以下收益:u全面掌握应用的脆弱性和面临的威胁评估人员会从影响应用安全性的各个层面、各种角度来细致地分析应用是否存在特定的安全问题。所有的分析和评判都不再是停留于表面,而是要深入挖掘问题的根本,使客户准确地认识到应用在哪方面存在脆弱性和可能面临怎样的安全威胁。u提高了客户安全技能在评估过程中,评估人员会经常与客户进行沟通交流。在这些交互过程中,无论是在安全技术、还是安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。