WEB服务器安全测试方案doc.docx
- 文档编号:587465
- 上传时间:2022-10-11
- 格式:DOCX
- 页数:6
- 大小:17.84KB
WEB服务器安全测试方案doc.docx
《WEB服务器安全测试方案doc.docx》由会员分享,可在线阅读,更多相关《WEB服务器安全测试方案doc.docx(6页珍藏版)》请在冰豆网上搜索。
WEB服务器安全测试方案doc
WEB服务器安全测试方案1
WEB服务器安全测试方案
测试宗旨
确保网站能够安全的运行,所有文件处在安全的网络环境之下,并受到应有的保护。
测试目的
本次测试旨在检验过去一段时间同事们的劳动成果,并确保
网站开发能在安全的环境下运行。
保护公司的权益不受侵害。
测试工具
网站啄木鸟'WebPecker微软扫描工具MBSA
随着互联网技术的高速发展,互联网信息安全也成为每一个电商都需要注重和关注的焦点。
在本次测试中,将从:
WIN2003系统安全,SQL数据库安全,应用程序安全这三方面安全为基点,以手动人工测试和必要的专业工具为工作利器,将服务器有可能
存在的漏洞揪出来并提出改善意见。
WIN2003系统安全。
以下测试基本都以人工手动方式进行逐项检查。
1、系统安装、分区格式
看硬盘是否分有多个区,各分区格式是否采用安全的NTFS
格式;系统
盘是否与其它应用程序分别安装与不同的磁盘分区,确保系
统盘得纯净,避
免感染病毒的机会。
2、是否安装好必要的防病毒软件,并开启防火墙。
3、IIS组件安装,端口管理
安装IIS,仅安装必要的IIS组件,开放必要端口,检查其它服务端口是
否关闭。
4、系统更新
检查系统是否更新了微软发布的安全补丁,是否有系统更新
计划。
5、系统用户配置,是否有完备的账号管理制度。
5.1、检查是否有多个管理员账号,管理员密码安全是否达标,密码长度最少
不少于14位。
5.2、检查账户组策略、本地策略是否有做相关安全设置。
6、系统网络服务安全
6.1、是否禁止WlNDoWS默认缺省的共享,
如:
C$,D$,admin$。
6.2、是否关闭不需要的服务,如:
DiStribUtedFiIeSyStem局域网共享服
务,PrintSpooIer打印机服务等。
7、相应策略审核
组策略是一个很好定义安全的策略,而且可以定义策略也很多,检查是否做了相关策略的设定。
如:
登录事件,账户登录事件,目录服务访问等。
8IIS服务配置安全
8.1、是否使用默认WEB站点,如果使用是否将它与系统盘分开存放。
8.2、是否删除了IIS默认的Inetpub目录,此目录一般在系统盘下。
8.3、是否删除了系统盘下的虚拟目录,如:
_Vti_bin、IlSSampies、SCriPtSO
8.4、是否删除了IIS不必要扩展映射。
8.5、是否更改IIS日志的保存路径。
数据库安全测试。
数据库安全测试将通过人工手动方式和专业测试工具来进行,手动方式主要测试方面有数据库的增、删、查、改等方面测
试;测试工具主要用于SQL注入漏洞。
1、SQL配置安全
1.1、检查SyStemAdminiStratOrS角色是否有多个,减少管理员账户的建
1.2、是否使用SA账户,如果使用是否为其配置超级复杂的密码。
1.3、是否隐藏SQLServer、更改默认1433端口。
2、数据库增、删、查、改操作。
这个测试将跟数据库用户权限结合测试。
2.1、创建SQLSerVer登录账户,并赋予他相应表权限,在这个权限设置下
对相应表做增、删、查、改等测试;并试图跨权限操作看是否成功。
2.2、数据库安全规范的更新时间和更新方式,主要是针对已离职员工后台的
账户管理,是否有相应的制度对其及时的规范管理。
2.3、数据库日志是否自动更新,并在出现问题时及时出现警示。
2.4、SQL注入测试。
使用网站啄木鸟软件对网站进行SQL注入测试,如果发
现注入漏洞,将进行SQL注入验证。
2.5、管理入口检查。
使用网站啄木鸟软件扫描后台管理后门。
3、数据库备份、恢复测试。
3.1、测试数据库备份、恢复所需时间,检查是否有完备的
数据备份制度。
应用程序安全测试。
1、网站上线测试。
此处测试使用白盒测试。
1.1、前台用户数据测试。
测试会员的相关功能以及用户如果一定时间内没
有活动,是否提示重新登陆。
1.2、检查网页是否有显示网站的路径,扫描敏感信息,防止一些关键信息
泄露。
比如过期的页面,或者过期的信息。
1.3、测试SSL/TLS的密码规范,检查加密系统并查看是否有弱密码。
仔细
检查https服务配置;如果Web应用程序提供了其他使用SSL/TLS封装的服务,也应当对其进行仔细检查。
1.4、测试SSL证书的有效性,主要测试SSL证书的颁发机构是否合法,SSL
有效期,证书名与服务器名称是否匹配
2、FTP服务程序以及MAIL程序检查。
2.1、检查FTP服务器,MAlL服务器端口的安全性。
2.2、检查MAlL软件的可靠性与安全性。
WEB销售订单管理设计方案1
浙江阳光股份有限公司
销售订单网络管理系统
设
计
方
案
客户项目经理:
日期:
开发项目经理:
日期:
2009年10月20日
1基础资料设置(4)
1.1经销商资料(4)
1.1.1注册申报(4)
1.1.2经销商资料审批
(6)
1.2用户与客户授权表
(8)
2销售订单管理(10)
2.1销售订单业务流程
(10)
2.2经销商提交销售订单
(11)
2.3销售部审核销售订单
(15)
2.4财务部审批销售订单
(17)
2.5销售订单列表(19)
2.6销售订单执行统计表
(21)
3客户理赔管理(22)
3.1客服理赔业务流程
(22)
3.2经销商提交理赔清单
(23)
3.3客服部审核理赔单
(25)
3.4理赔清单列表(27)
4货物托运管理(29)
4.1输入货物托运单(29)
4.2确认货物托运单(32)
4.3货物托运单列表(33)
5应用程序模块(35)
6数据库表(36)
文档控制更改记录
查阅
分发
1基础资料设置
1.1经销商资料
1.1.1注册申报
市场部在开发经销商后,需要对该经销商的资料通过网络申报公司。
经市场部审核批准后作为正式经销商转入系统的客户档案。
在未做审核的经销商档案,在WEB订单系统中是不能参照
使用。
程序要求:
当经销商资料审批后,关闭编辑按钮;
♦主控页面
主页面控键操作说明:
增加新的经销商资料申报表;
将光标所在行的记录转(客户资料编辑操作),等效双击
提供选择经销商资料的过滤条件;
♦过滤条件
过滤条件操作说明:
部门:
从U8系统部门档案中选择;
业务员:
从U8系统人员档案中选择;
销售地区:
从U8系统地区档案中选择;
行业分类:
从U8系统行业分类档案中选择;
客户名称:
直接输入,根据输入的客户名称进行检索;
审批状态:
下拉选择:
全部、未审批(默认)、已审批;
申报起始日期:
检索≥起始日期的客户资料记录,默认为
“空”;申报结束日期:
检索≤结束日期的客户资料记录,默认当前日期;
♦编辑操作:
基本资料:
发货资料:
开票资料:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WEB 服务器 安全 测试 方案 doc