針對**財務(wù)公司的消費信貸系統(tǒng)、電子商業(yè)匯票 、網(wǎng)上審批、網(wǎng)上支付、建行Winbridge、MBP銀企平臺、工行NC、建行外聯(lián)平臺、征信報送業(yè)務(wù)系統(tǒng)，一航網(wǎng)絡(luò)軟件測評中心針對用戶需求，對**集團財務(wù)公司核心應(yīng)用系統(tǒng)進行了漏洞掃描和滲透測試等非破壞性安全測試。

      一、測試方法

        本次滲透測試的測試方法和內(nèi)容將包括：

        1、應(yīng)用系統(tǒng)相關(guān)信息收集與分析

        2、口令強度測試

        3、遠程溢出攻擊測試

        4、本地權(quán)限提升測試

        5、邏輯驗證攻擊測試

        6、SQL注入攻擊測試

        7、XSS跨站腳本攻擊測試

        8、Cookies欺騙攻擊測試

        9、網(wǎng)絡(luò)數(shù)據(jù)傳輸安全性測試

      二、風(fēng)險控制措施

        本次安全測試由于采用可控制的、非破壞性質(zhì)的安全測試，因此不會對財務(wù)公司業(yè)務(wù)造成嚴重的影響。在安全測試結(jié)束后，系統(tǒng)將保持正常運行狀態(tài)。同時采取以下手段保證安全測試對系統(tǒng)的影響最小化：

        1、在安全測試進行之前對系統(tǒng)穩(wěn)定性進行測試。

        2、避免采用大規(guī)模探測或DOS攻擊方式進行測試。

        3、在安全測試結(jié)束之后對系統(tǒng)進行測試，驗證系統(tǒng)可穩(wěn)定進行。

        4、不采取有損傷性的測試手段和方法。

        5、采用空閑時間段，避免了高峰時期的事故影響。

       三、測試結(jié)果

        經(jīng)過對幾個核心應(yīng)用系統(tǒng)的滲透測試進行的全面檢測和分析，安全狀況不容樂觀，系統(tǒng)存在嚴重的漏洞和安全隱患.....。

      四、安全建議

        基于本次應(yīng)用評估的結(jié)果，經(jīng)一航網(wǎng)絡(luò)安全項目小組討論，建議如下：

        1、思考是否變更網(wǎng)站安全的管理模式，加強網(wǎng)站安全管理。

        2、強化統(tǒng)一的安全組織結(jié)構(gòu)，明確全員的安全策略，建立起安全文化。

        3、所有系統(tǒng)均應(yīng)考慮目前互聯(lián)網(wǎng)上最普遍的XSS攻擊和SQL注入攻擊，對用戶提交的數(shù)據(jù)合法性進行過濾，并制定安全開發(fā)手冊規(guī)范安全開發(fā)流程。

        4、建立統(tǒng)一的安全體系，做到可評估、可測量、可控制并持續(xù)改進。

        5、定期檢測網(wǎng)站、數(shù)據(jù)庫是否存在安全缺陷、惡意代碼。

      五、安全建議

        1、 過濾或轉(zhuǎn)換用戶提交數(shù)據(jù)中的HTML代碼，如特殊符號"<>:|'等特殊符號

        2、 限制用戶提交數(shù)據(jù)的長度　

        3、禁止調(diào)用遠程頁面，建議使用數(shù)字參數(shù)來調(diào)用內(nèi)部頁面

        4、上傳文件校驗文件的內(nèi)容是否為圖片，并且圖片內(nèi)容無腳本代碼。

       一航網(wǎng)絡(luò)軟件測評中心，是一家[ 全具備CMA資質(zhì) ]的第三方軟件測評服務(wù)機構(gòu)，具有檢驗檢測機構(gòu)資質(zhì)認定（CMA）證書資質(zhì)，具備為企業(yè)提供軟件測試、功能測試的服務(wù)能力，出具的軟件測試報告（包括軟件登記測試報告、科技項目驗收測試報告、科技成果鑒定測試報告、性能測試報告、確認測試報告等）均可全國通用。

       為了減少您的人力和物力成本，我們可以為您提供上門測試、遠程測試服務(wù)。

       服務(wù)區(qū)域：[ 全國范圍 ]

       服務(wù)熱線：[ 400-850-9950 ]