返回
appscan安全测试报告

appscan安全测试报告

ID:29855871

大小:22.59 KB

页数:13页

时间:2018-12-24

appscan安全测试报告_第1页
appscan安全测试报告_第2页
appscan安全测试报告_第3页
appscan安全测试报告_第4页
appscan安全测试报告_第5页
资源描述:

《appscan安全测试报告》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划appscan安全测试报告  中国石化资金集中管理信息系统  Web应用安全测试报告  1.简介  本文针对中国石化资金集中管理信息系统,采用IBMRational的安全测试产品AppScan进行安全测试,并基于此次测试的结果进行分析。  中国石化资金集中管理信息系统应用特点  中国石化资金集中管理信息系统应用采用作为应用服务器,系统使用基于Spring的Acegi进行安全认证和授权;其中还大

2、量采用了Javascript技术,所有其对于url的解析处理,需要动态进行处理。  针对中国石化资金集中管理信息系统应用特点的安全测试设置  针对于中国石化资金集中管理信息系统应用的以上特点,并结合实际使用情况分为三种场景进行测试,测试内容选择了系统的功能1和功能2:  1)使用用户名/密码,但不进行登陆验证:此场景如同一般用户登陆系统,  但不进行登陆验证,即不判断针对特殊应用安全的登陆,是否存在安全问题。目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平

3、,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  2)使用用户名/密码,进行登陆验证:此场景选择正常用户登陆系统,进行  登陆验证,即判断针对特殊应用安全的登陆,是否存在安全问题。3)基于不同角色登陆处理:结合权限较高的admin用户和权限较低的  cqusr1用户进行登陆,除了常规的安全的检测,特别还要针对跨权限的安全访问进行判断。  通过以上的配置,结合AppScan的登陆设置就可以了。  2.测试结果简

4、析  结合以上的三个场景,针对部分功能进行安全测试后,初步获得以下测试结果。  整体内容分析  3.严重安全问题分析及修改建议  XSS跨站点脚本攻击漏洞  问题概述:黑客可以应用此漏洞,获取最终用户信息,并基于此进行伪装,进行攻击。url:  http://:40001/wfProject/jsp/app/sinopec/wf/loan/  http://:40001/wfProject/jsp/app/sinopec/wf/loan/  http://:40001/wfProject/jsp/app

5、/sinopec/wf/tongye/目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  http://:40001/wfProject/jsp/app/sinopec/wf/tongye/  测试方式:在参数中增加javascript:alert()处理,可执行url修改方法:修改对于参数的处理,将无效值进行排除。

6、  注入漏洞  问题概述:黑客可以应用此漏洞,获取交易信息。url:  http://:40001/wfProject/jsp/app/netbank/common/  测试方式:在httprequest中填写foobar=foobar之类内容进行攻击修改方法:修改httpparameter处理,将无效内容过滤  JBoss管理控制台打开  问题概述:对于jboss控制台没有进行控制。url:  http://:40001/测试方式:直接进行访问即可  修改方法:如果上线,此控制台建议关闭或者设置安全。

7、  跨权限设置访问  问题概述:登陆用户,即可不受权限限制,通过url直接访问用户管理。url:  http://:40001/wfProject/jsp/app/acountmanager/  http://:40001/wfProject/jsp/app/acountmanager/  http://:40001/wfProject/jsp/app/acountmanager/  http://:40001/wfProject/jsp/app/acountmanager/目的-通过该培训员工可对保安

8、行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划  http://:40001/wfProject/jsp/app/netbank/common/http://:40001/wfProject/servlet/dataengine测试方式:采用权限较低用户,可以访问用户管理内容。修

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。