- 1、本文档共25页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
4、Testin安全测试介绍方案
Testin安全产品介绍
2
© Testin. Confidential. All Rights Reserved.
Testin安全测试解决方案 – 概述
3
安全测试流程
© Testin, All Rights Reserved
4
APP应用安全评估关注点
© Testin, All Rights Reserved
5
© Testin. Confidential. All Rights Reserved.
APP应用安全评估主要内容
检测内容主要包括:环境安全、应用安全、用户操作安全、业务安全、数据安全、通信安全、服务器端安全等7个方面对APP进行全方位的渗透测试
序号
检测项
说明
1
环境安全
测试的对象主要在APP应用程序运行环境安全,检测APP运行环境是否安全
2
应用安全
测试的对象主要在APP本身应用程序代码的安全,帮助开发人员验证测试APP本身应用包的安全风险和逆向检测【现在移动端APP自身的安全问题更为重要,需要开发者在产品开发期间就做好安全工作】
3
用户安全
测试的对象主要在APP使用者的基本操作安全,快速发现APP中的密码体系设计是否完整。使测试人员更专注于分析密码体系的设计缺陷
4
业务安全
测试的对象主要在APP业务功能实现过程和逻辑的安全,检测APP运行执行业务操作流程的安全可靠性
5
数据安全
测试的对象主要在APP处理数据过程的安全性,对APP运行和关闭状态的数据进行安全检测。帮助工作人员测试APP数据的生产、传输、存储、使用各个环节中的薄弱点
6
通讯安全
检测应用的数据在网络传输过程是否安全。测试过程中快速发现APP数据在网络传输过程中的安全薄弱点
7
服务端安全
测试服务端程序及平台系统的安全性。快速及时发现服务端隐藏的安全风险,提高服务器的抗攻击能力和安全性
6
© Testin. Confidential. All Rights Reserved.
APP详细检测内容:1/3
7
© Testin. Confidential. All Rights Reserved.
APP详细检测内容:2/3
8
© Testin. Confidential. All Rights Reserved.
APP详细检测内容:3/3
9
Web站点安全评估关注点
© Testin, All Rights Reserved
10
© Testin. Confidential. All Rights Reserved.
Web站点安全评估主要内容
检测内容主要包括:配置管理类、认证管理类、会话管理类、输入验证类、文件操作类、不安全URL类、服务器端敏感信息安全等7个方面进行渗透测试
序号
检测项
说明
1
配置管理
测试的对象主要在Web应用系统在部署生产环境时因研发/运维人员疏忽导致安全问题
2
认证管理
测试的对象主要在Web应用系统身份认证机制,包括客户身份认证和服务端身份认证检测
3
会话管理
测试的对象主要在Web应用系统会话安全管理机制安全
4
输入验证
测试的对象主要在Web应用系统参数输入校验机制安全,包括SQL注入、XSS漏洞等
5
文件操作
测试的对象主要在Web应用系统处理上传文件数据过程的安全性
6
不安全URL
检测Web应用系统的URL跳转、常见木马后门文件
7
服务端敏感信息
测试服务端程序及平台系统的安全性。帮助测试人员快速及时发现服务端隐藏的安全风险,提高服务器的抗攻击能力和安全性
11
© Testin. Confidential. All Rights Reserved.
Web详细检测内容
12
© Testin. Confidential. All Rights Reserved.
渗透测试技术规范及标准
银监会监管条例:
中国银行业监督管理委员会:《电子银行安全评估指引》
中国银行业监督管理委员会:《银行业金融机构信息科技外包风险管理指引》
中国银行业监督管理委员会办公厅: 《关于展开手机银行安全自查的通知》
中国银行业监督管理委员会办公厅: 《关于展开电子银行系统安全性渗透测试的通知》
监管机构技术规范
中国人民银行:《网上银行信息系统通用安全规范》
中国人民银行:《金融业信息安全风险提示》 2013年第1期、第2期
YD/T 1438-2006数字移动台应用层软件功能要求和测试方法
YD/T 2307-2011数字移动通信终端通用功能技术要求和测试方法
JR/T 0092-2012中国金融移动支付 客户端技术规范
JR/T 0095-2012中国金融移动支付 应用安全规范
国内外通用技术规范
ISO/IEC 27002 “信息系统的获取、开发和保持”部分
12.1 信息系统的安全要求
12.2.信息系统的正确处理
12.3.加密控制
12.4.系统
文档评论(0)