常见的安全测试扫描软件
1.产品通⽤安全测试
2.开源及第三⽅软件测试评估
⼯具:Nexpose
要求:产品如含有开源软件,则须对其开源软件的漏洞进⾏及时检测,并对存在的安全漏洞进⾏修复或升级到⽆漏洞的新开源软件版本
2.防病毒软件扫描与分析
⼯具:McAfee、Symantec
要求:在软件包(含补丁包)发布前,需要经过⾄少⼆款防病毒软件扫描,保证防病毒软件不产⽣告警,特殊情况下对告警作出解释说明。扫描记录(防病毒软件名称、软件版本、病毒库版本、扫描时间、扫描结果等)存档并随软件包(含补丁包)发布给客户。
3.端⼝扫描与分析
⼯具:nmap
要求:
(1)提供设备所有功能/特性所使⽤到的端⼝(包括系统的监听端⼝、系统作为客户端对外连接请求的所有端⼝);
(2)通信矩阵中如存在动态侦听端⼝,侦听范围必须限定在确定的必要的范围内,并与实际的动态侦听接⼝范围保持⼀致。
(3)未在通信矩阵中描述的端⼝应关闭。
4.操作系统和数据库漏洞扫描与分析
⼯具:nessus
要求:
(1)系统经业界主流漏洞扫描⼯具扫描(如Nessus),测试应使⽤最新的漏洞库,扫描报告中不得出现⾼风险级别的漏洞。请提供扫描插件列表(如果插件有版本号,需同时提供版本号)、漏洞库信息、扫描报告(包含扫描详情)等。
(2)系统提供安全配置/加固指南和安全维护⼿册等⽂档。
5.Web安全测试
⼯具:AppScan、Burpsuite、Acunetix Web Vulnerability Scanner
要求:
使⽤Web安全扫描⼯具(如AppScan、Burpsuite、Acunetix Web Vulnerability Scanner)扫描Web服务器和Web应⽤,测试应使⽤最新的漏洞库、配置所有漏洞相关插件,扫描报告中不得出现⾼风险级别的漏洞。(扫描出低风险不修改的问题也需要⼀⼀解释说明遗留的理由)
6.FUZZ测试(模糊测试)
⼯具:Defensics
要求:华为提供的⾃测⽤例未包含该测试,但是⾃测报告需要提供测试结果。
7.安全配置检查及结果评估
7.APK扫描结果评估
Nessus:
Nessus号称是世界上最流⾏的漏洞扫描程序,全世界有超过75000个组织在使⽤它。该⼯具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进⾏系统的漏洞分析扫描。
环境搭建:
使⽤⽅法(基础扫描):
第⼀步:在My Scans中选中基础扫描
第⼆步:填写扫描名称、描述(选填)、⽬标IP
软件测试app
第三步:配置设备ssh、数据库、查看插件等等
第四步:开始扫描
第五步:导出报告
2. 安全红线测试验证
安全属性红线要求
访问通道控制1.1.1 系统⽀持⽆法从⽤户⾯直接登录连接管理接⼝(不⽀持独⽴的管理IP地址的产品除外)。
1.1.2 同时存在跨公⽹和局域⽹的产品,⾯向公⽹的WAN侧管理端⼝和⾯向局域⽹LAN侧管理端⼝必须隔离。
1.1.3 系统所有的对外通信连接必须是系统运⾏和维护必需的,对使⽤到的通信端⼝在产品通信矩阵⽂档中说明,动态侦听端⼝必须限定确定的合理的范围。通过端⼝扫描⼯具验证,未在通信矩阵中列出的端⼝必须关闭。
1.1.4 所有能对系统进⾏管理的⼈机接⼝以及跨信任⽹络的机机接⼝必须有接⼊认证机制,标准协议没有认证机制的除外。
1.1.5 设备外部可见的能对系统进⾏管理的物理接⼝必须有接⼊认证机制。
1.2.1 对与终端⽤户有交互或者与⾮信任⽹络互联的容易受攻击的协议,使⽤⼯具进⾏畸形报⽂攻击测试,测试结果不得出现致命或严重级别的问题,提供测试结果。
系统加固2.1.1 系统经公司指定必须使⽤的漏洞扫描⼯具扫描,⾼风险级别的漏洞必须得到解决或有效规避。
2.1.2 第三⽅产品需要对所涉及的操作系统、数据库、安全组件的安全补丁进⾏兼容性测试。
2.1.3 产品使⽤的开源或三⽅件等存在外部公开漏洞,已有官⽅修复⽅案的,产品⽆论是否调⽤都必须按照官⽅认可的⽅案修复。
应⽤安全4.1.1 对于每⼀个需要授权访问的请求都必须核实⽤户是否被授权执⾏这个操作。
4.1.2 对⽤户的最终认证处理过程必须放到服务端进⾏。
4.1.3 Web应⽤程序的会话标识必须具备随机性;⾝份验证成功后,必须更换会话标识。
产品开发、发布和安装安全5.1.1 禁⽌产品存在可绕过系统安全机制(认证、权限控制、⽇志记录)对系统或数据进⾏访问的功能。
• 禁⽌隐秘访问⽅式:包括隐藏账号、隐藏⼝令、⽆鉴权的隐藏模式命令/参数、隐藏组合键访问⽅式;隐藏的协议/端⼝/服务;隐藏的⽣产命令/端⼝、调测命
令/端⼝。
• 禁⽌不可管理的认证/访问⽅式:包括⽤户不可管理的账号,⼈机接⼝以及可远程访问的机机接⼝的硬编码⼝令。
5.1.2 禁⽌产品存在未⽂档化的命令/参数、端⼝等接⼊⽅式(包括但不限于产品的⽣产、调测、维护⽤途),所有接⼊⽅式均须通过产品资料等对客户公开或受限公开。
5.2.1 产品软件禁⽌存在病毒、⽊马。
5.2.2 产品软件禁⽌存在发送恶意⼴告、吸费、恶意消耗流量等⾏为。
5.3.1 禁⽌在产品软件中存留可能被质疑的组件,包括第三⽅的⽹络嗅探、调试⼯具、开发/编译⼯具、仅在调测阶段使⽤的认证密钥、⾃研调试⼯具/脚本。5.3.2 禁⽌在产品软件中包含⽤户界⾯不可见或产品资料未描述的未公开的公⽹地址(包括公⽹IP地址、公⽹URL地址/域名、邮箱地址)。
5.3.3 禁⽌破坏OS等系统原有安全框架、可能被外界质疑为后门的⾏为。
5.4.1 禁⽌对外提供服务的和能够被远程访问的进程使⽤root账户(或等同)权限运⾏。
6.1.1 禁⽌使⽤私有加密算法。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论