2019年应用服务系统安全测试的标准化.pdf

《2019年应用服务系统安全测试的标准化.pdf》由会员分享，可在线阅读，更多相关《2019年应用服务系统安全测试的标准化.pdf（16页珍藏版）》请在三个皮匠报告上搜索。

1、应用服务系统安全测试的标准化目录目 录建设背景应用系统标准化安全测试设计与实践后续展望依托渗透测试方法，以入侵被测系统、控制服务器、获取系统信息为目标，寻找一条可行通路进入系统达到目的即停止，不查找系统所有漏洞。系统性全面排查缺陷的能力不足技术能力不同、关注点不同，则测试结果不同，仅依托个人责任心和工作能力，无法衡量工作量和工作质量。自主安全技术能力不足经过历年开发与安全的共同协作，外部检查中发现的高风险漏洞大幅降低，合规类漏洞数量增加。（如软键盘乱序）外部检查合规缺陷增加2018年，为进一步加强安全管理，部门从各角度颁布多个安全技术规范，但如何落地执行缺乏有效方法和手段。安全规范有效落地不足

2、工作背景（挑战）制定统一的安全技术标准和标准的安全测试案例库，将个人技术能力转化为我行安全技术能力并不断发展完善。打造自有安全技术能力制定案例库、改造测试工作流程，实施全面安全测试，提升技术深度和覆盖广度，指导测试工作有序标准化实施，提升安全测试能力。提升安全测试效果标准化测试流程与测试方法，降低因个人能力不同测试结果不同的现状，也为量化考核提供依据。降低个人技术依赖工作背景（目标）312统一的技术要求安全测试标准化标准的测试方法规范的测试管理整合各类安全技术规范；制定场景化安全测试案例库；严格实施测试管理流程；定期追溯测试结果；工作推进思路（标准化规范化）目录目 录建设背景应用系统标准化安全

3、测试设计与实践后续展望安全测试通过模拟“恶意黑客攻击”的测试手段，来评估系统安全性的一种评估方法，这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，是验证应用安全和识别潜在安全缺陷的过程。移动互联系统应用安全测试在互联网上直接访问，面向客户、行员提供服务的系统，包括APP、WEB、微信，与第三方接口不在测试范围内。操作系统、数据库、中间件、网络业务功能业务逻辑安全缺陷等开发框架缺陷、源代码缺陷等系统漏洞、配置缺陷、日志敏感信息等软件实现硬件设施机房环境硬件后门等电磁泄露等移动互联系统应用安全安全测试工作流程根据需求内容判断是否需要安全测试需求分析根据场景化安全测试案例库选取适当的测试案例

4、，制定测试计划（方案评审）案例选取手工测试：根据场景化安全测试案例库中标准化测试步骤开展自动化测试：依托自动化测试平台开展案例执行对发现缺陷进行跟踪复测，直至全部修复缺陷修复形成测试报告（投产评审）报告审批报告审批案例执行需求分析案例选取缺陷修复场景化安全测试案例库（一）概述业务功能：注册与登录、敏感信息查询、金融交易、业务申请、demo测试等功能组件：身份鉴别、设备标识与认证、页面输入、文件上传下载等业务场景功能场景访问控制、接口安全、数据安全系统场景会话管理：会话回退、会话关闭等配置管理：客户端配置、网络配置、服务器配置、部署管理等审计管理：日志与审计场景化安全测试案例库（二）具体内容案例

5、名称测试目的（意图）测试条件(数据需求）测试场景测试步骤检查指引期望结果 测试结果转账汇款篡改验证转账汇款功能数据完整性保障机制是否存在风险1.完成开户和电子渠道开通;2.用户信息（用户名/手机号、登录密码、关联账号）转账汇款1.登录账号，设置代理抓包，分别拦截并修改各步骤请求报文：(1)点击转账汇款，获得请求报文；(2)输入转账信息，点击下一步，获得请求报文；(3)点击获取验证码，输入验证码，并输入密码，点击提交,获得请求报文。(4)修改各步骤请求报文中的“付款账号、转账金额、收款账号、收款人姓名、收款人手机号”;2.分别发送修改后的请求报文；3.拦截各步骤的响应报文;4.检查是否有成功的响

6、应报文。若存在，则说明存在数据篡改风险。1.应用系统通信过程中应使用校验码技术保证通信过程中数据的完整性，所有涉及资金、账务等敏感信息变动的交易报文必须调用MAC加密类接口进行完整性校验;2.应对交易数进行数据签名，签名数据除流水号、交易金额、转入账号、交易日期和时间等要素外，还应包含由服务器生成的随机数据，服务器应验证签名的有效性并安全存储签名。系统提示报文解析失败。序号场景类别子序号应用场景风险项检查点案例名称测试方法适用范围风险等级适用类型1 访问控制1.1 会话会话回退(1)页面后退会话回退-页面回退手工全部严重web/app/公众号(2)直接输