WEB服務(wù)器安全測(cè)試方案

1、WEB服務(wù)器安全測(cè)試方案1WEB服務(wù)器安全測(cè)試方案測(cè)試宗旨確保網(wǎng)站能夠安全的運(yùn)行，所有文件處在安全的網(wǎng)絡(luò)環(huán)境之 下，并受到應(yīng)有的保護(hù)。測(cè)試目的本次測(cè)試旨在檢驗(yàn)過(guò)去一段時(shí)間同事們的勞動(dòng)成果，并確保網(wǎng)站開(kāi)發(fā)能在安全的環(huán)境下運(yùn)行。保護(hù)公司的權(quán)益不受侵害。測(cè)試工具網(wǎng)站啄木鳥(niǎo)WebPecker微軟掃描工具M(jìn)BSA隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，互聯(lián)網(wǎng)信息安全也成為每一個(gè) 電商都需要注重和關(guān)注的焦點(diǎn)。在本次測(cè)試中，將從： WIN2003 系統(tǒng)安全，SQL數(shù)據(jù)庫(kù)安全，應(yīng)用程序安全這三方面安全為基點(diǎn)， 以手動(dòng)人工測(cè)試和必要的專(zhuān)業(yè)工具為工作利器，將服務(wù)器有可能存在的漏洞揪出來(lái)并提出改善意見(jiàn)。WIN2003系統(tǒng)安全。以

2、下測(cè)試基本都以人工手動(dòng)方式進(jìn)行逐項(xiàng)檢查。1、系統(tǒng)安裝、分區(qū)格式看硬盤(pán)是否分有多個(gè)區(qū)，各分區(qū)格式是否采用安全的NTFS格式；系統(tǒng)盤(pán)是否與其它應(yīng)用程序分別安裝與不同的磁盤(pán)分區(qū)，確保系統(tǒng)盤(pán)得純凈，避免感染病毒的機(jī)會(huì)。2、是否安裝好必要的防病毒軟件，并開(kāi)啟防火墻。3、IIS組件安裝，端口管理安裝IIS,僅安裝必要的IIS組件，開(kāi)放必要端口，檢查其 它服務(wù)端口是否關(guān)閉。4、系統(tǒng)更新檢查系統(tǒng)是否更新了微軟發(fā)布的安全補(bǔ)丁，是否有系統(tǒng)更新計(jì)劃。5、系統(tǒng)用戶(hù)配置，是否有完備的賬號(hào)管理制度。5.1、 檢查是否有多個(gè)管理員賬號(hào)，管理員密碼安全是否達(dá) 標(biāo)，密碼長(zhǎng)度最少不少于14位。5.2、 檢查賬戶(hù)組策略、本地策略是

3、否有做相關(guān)安全設(shè)置。6、系統(tǒng)網(wǎng)絡(luò)服務(wù)安全6.1、是否禁止 WINDOWS 默認(rèn)缺省的共享，如:C$,D$,admin$。6.2、是否關(guān)閉不需要的服務(wù)，如：Distributed File System局 域網(wǎng)共享服務(wù)，PrintSpooler打印機(jī)服務(wù)等。7、相應(yīng)策略審核組策略是一個(gè)很好定義安全的策略，而且可以定義策略也很 多，檢查是否做了相關(guān)策略的設(shè)定。如：登錄事件，賬戶(hù)登錄事 件，目錄服務(wù)訪問(wèn)等。8、IIS服務(wù)配置安全8.1、 是否使用默認(rèn) WEB站點(diǎn)，如果使用是否將它與系統(tǒng)盤(pán) 分開(kāi)存放。8.2、 是否刪除了 IIS默認(rèn)的Inetpub目錄，此目錄一般在系 統(tǒng)盤(pán)下。8.3、 是否刪除了系統(tǒng)

4、盤(pán)下的虛擬目錄，如：_vti_bin、IISSamples、Scripts。8.4、 是否刪除了 IIS不必要擴(kuò)展映射。8.5、 是否更改IIS日志的保存路徑。數(shù)據(jù)庫(kù)安全測(cè)試。數(shù)據(jù)庫(kù)安全測(cè)試將通過(guò)人工手動(dòng)方式和專(zhuān)業(yè)測(cè)試工具來(lái)進(jìn) 行，手動(dòng)方式主要測(cè)試方面有數(shù)據(jù)庫(kù)的增、刪、查、改等方面測(cè)試；測(cè)試工具主要用于 SQL注入漏洞。1、SQL配置安全1.1、 檢查System Administrators角色是否有多個(gè)，減少管理 員賬戶(hù)的建立。1.2、 是否使用SA賬戶(hù)，如果使用是否為其配置超級(jí)復(fù)雜的 密碼。1.3、 是否隱藏SQL Server、更改默認(rèn)1433端口。2、數(shù)據(jù)庫(kù)增、刪、查、改操作。這個(gè)測(cè)

5、試將跟數(shù)據(jù)庫(kù)用戶(hù) 權(quán)限結(jié)合測(cè)試。2.1、 創(chuàng)建SQL Server登錄賬戶(hù)，并賦予他相應(yīng)表權(quán)限，在 這個(gè)權(quán)限設(shè)置下對(duì)相應(yīng)表做增、刪、查、改等測(cè)試；并試圖跨權(quán)限操作看是 否成功。 2.2、數(shù)據(jù)庫(kù)安全規(guī)范的更新時(shí)間和更新方式，主要 是針對(duì)已離職員工后臺(tái)的賬戶(hù)管理，是否有相應(yīng)的制度對(duì)其及時(shí)的規(guī)范管理。2.3、 數(shù)據(jù)庫(kù)日志是否自動(dòng)更新，并在出現(xiàn)問(wèn)題時(shí)及時(shí)出現(xiàn) 警示。2.4、 SQL注入測(cè)試。使用網(wǎng)站啄木鳥(niǎo)軟件對(duì)網(wǎng)站進(jìn)行SQL注入測(cè)試，如果發(fā)現(xiàn)注入漏洞，將進(jìn)行SQL注入驗(yàn)證。2.5、 管理入口檢查。使用網(wǎng)站啄木鳥(niǎo)軟件掃描后臺(tái)管理后 門(mén)。2.6、 庫(kù)備份、恢復(fù)測(cè)試。3.1、 測(cè)試數(shù)據(jù)庫(kù)備份、恢復(fù)所需時(shí)間，檢查是否有完備的 數(shù)據(jù)備份制度。應(yīng)用程序安全測(cè)試。1、網(wǎng)站上線測(cè)試。此處測(cè)試使用白盒測(cè)試。1.1、 前臺(tái)用戶(hù)數(shù)據(jù)測(cè)試。測(cè)試會(huì)員的相關(guān)功能以及用戶(hù)如 果一定時(shí)間內(nèi)沒(méi)有活動(dòng)，是否提示重新登陸。1.2、 檢查網(wǎng)頁(yè)是否有顯示網(wǎng)站的路徑，掃描敏感信息，防 止一些關(guān)鍵信息泄露。比如過(guò)期的頁(yè)面，或者過(guò)期的信息。1.3、 測(cè)試SSL/TLS的密碼規(guī)范，檢查加密系統(tǒng)并查看是否 有弱密碼。仔細(xì)檢查https服務(wù)配置；如果Web應(yīng)用程序提供了其他使用 SSL/TLS封裝的服務(wù)，也應(yīng)當(dāng)對(duì)其進(jìn)行仔細(xì)檢查。1.4、 測(cè)試SSL證書(shū)的有效性，主要測(cè)試 SSL證書(shū)的頒發(fā)機(jī) 構(gòu)是否合法