漏洞扫描
无
模拟攻击
1.系统是否允许极端或不正常的登陆方式访问。(如拷贝软件系统中的某个功能点的url地址,然后直接通过IE访问看是否成功)
第二部分
系统安全性:
注意(这里的系统指的是操作系统也就是应用程序所运行的操作系统)
系统安全测试:
可确保只有具备系统访问权限的用户才能访问应用程序,而且只能通过相应的网关来访问,包括对系统的登录或远程访问。其测试是核实只有具备系统和应用程序访问权限的操作者才能访问系统和应用程序。
操作系统安全测试
1、帐号和口令
2、网络与服务
3、文件系统
4、日志审核
5、其它安全设置
帐号和口令
1.对主机或域上用户强制进行口令复杂度。
2.检查系统是否使用默认管理员帐号。
3.检查在系统中是否存在可疑或与系统无关的帐号。
4.检查系统用户是否有口令最短和口令长度要求。
5.检查系统用户是否有密码过期策略。
6.网络与服务:
a.查看主机开放的共享,关掉不必要的共享和系统默认的共享服务。
b.查看主机进程信息。(不允许系统中安装有与应用服务无关的应用程序)
c.查看系统启动的服务列表。
d.查看系统启用的端口号。
e.查看系统是否制定操作系统的备份恢复策略服务
文件系统
文件系统的安全主要是检查主机磁盘分区类型和某些特定目录的权限。
注意:服务器应使用具有安全特性的NTFS格式,而不应该使用FAT或FAT32分区(上述描述的内容主要是针对windows操作系统)。