苍穹生态产品安全及报告规范
一、安全测试基线用例测试
渗透测试需完成下述用例检查:
用例名称 | 用例描述 |
纵向越权 | 纵向越权是指应用在检查授权时存在纰漏,使得攻击者可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的界面。 |
横向越权 | 横向越权是指用户可获取同级别其他用户的资源,如用户A可以查询到用户B权限内数据。 |
越权下载 | 纵向越权是指应用在检查授权时存在纰漏,使得攻击者可以利用一些方式绕过权限检查,下载到原本无权下载的数据。 |
敏感信息泄露 | 密码、密钥、身份证、银行卡号等敏感数据不允许任何方式泄露,包括但不限于页面明文展示、篡改js查看到明文、日志中打印、数据库明文存储 |
XSS注入 | XSS是一种常见的 Web 安全漏洞,由于 Web 应用未对用户提交的数据做充分的检查过滤,允许用户在提交的数据中掺入 HTML 代码(最主要的是“>”、“<”),并将未经转义的恶意代码输出到第三方用户的浏览器解释执行,从而导致 XSS 漏洞。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等内容。 |
CSV注入 | 通过在CSV文件中构造恶意的命令或函数,使得正常用户在使用Excel打开这个CSV文件后恶意的命令或函数被执行,从而造成攻击行为。 |
日志审计 | Web应用非查询操作都需要有日志记录,重要查询操作也需要记录日志。 |
信息泄露 | 组件版本、堆栈信息、sql语句等信息不允许返回给用户 |
密码复杂度要求 | 检查如下场景密码是否满足复杂度要求:初始密码、新建账号密码、修改密码、重置密码,设置的密码是否符合密码复杂度要求,所有场景都满足密码复杂度要求:密码长度至少8个字符,必须包含大写字母、小写字母、数字、特殊字符中的3种组合 |
二、安全测试报告材料规范
安全如果贵司没有精力或能力出具安全测试报告中的内容,可自行联系安全测试厂商,或者在金蝶应用市场也有合作的安全测试服务推荐 :https://appmarket.kingdee.com/index/productDetail/613466439197790208
如果经费有限,金蝶也提供安全测试教程和材料。
性能和稳定性测试教程:https://vip.kingdee.com/link/s/Mkmyj
安全测试报告要求 | 附件及截图完整性 | 1、端口开放截图(只上架公有云则不需要提供) 2、系统漏洞报告(pdf版)(只上架公有云则不需要提供) 3、web扫描报告(pdf版) 4、源代码扫描报告(pdf版) 5、判断是否有app端(非苍穹平台的),app测试报告 6、手工渗透测试,包含苍穹ISV产品手工渗透的安全测试用例。 7、两款病毒软件的扫描报告或截图 |
端口安全 | 端口开放:一般开放tcp 80-89,443,8440-8450,8080-8089。 结合高危端口清单,关闭所有高危端口、或做到高危端口加固。 详见《高危端口合集》(见文末附件) | |
报告检查 | 所有报告中,不含中高危漏洞,如有判定为金蝶平台漏洞,须在结论中描述清楚。 |
下述为《安全测试报告》工具扫描结果检查样例(以下仅供参考,伙伴使用不同工具扫描,表现形式可能不一样):
1 端口扫描(Nmap)
2 系统漏洞扫描(Nessus)
3 Web安全扫描(AppScan、Acunetix等)
Acunetix:
4 源代码安全扫描(Fortify、Sonar等)
以上严重的问题必须清零,若存在因为误报等无法清零的,必须在报告中写明。
5 App安全扫描
提供附件,中高危漏洞必须修复,低危漏洞必须经过安全负责人评估不影响方可不修复,此处不提供样例。
6 渗透性测试
渗透性测试需由人工测试辅助,伙伴自评估的,需写清楚做了哪些渗透性测试,列出详细测试清单。
7 开源及第三方软件安全
8 病毒扫描(需提供两款病毒扫描结果)
苍穹生态产品安全及报告规范
一、安全测试基线用例测试渗透测试需完成下述用例检查:用例名称用例描述纵向越权纵向越权是指应用在检查授权时存在纰漏,使得攻击者可以利...
点击下载文档
上一篇:生态产品立项前伙伴须知下一篇:生态产品研发总体流程介绍
本文2024-09-23 01:15:14发表“云苍穹知识”栏目。
本文链接:https://wenku.my7c.com/article/kingdee-cangqiong-144768.html
您需要登录后才可以发表评论, 登录登录 或者 注册
最新文档
热门文章