安全漏洞checklist

目录

1. 安全漏洞评级标准

下面描述了安全漏洞危害等级的评分方法,作为应用安全评级参考:
1. 5项得分累加即得总分。
2. 如果总分是 5-7 分,则是低风险; 8-11分,则是中等风险;12-15分,则是高风险。
评分标准如下:

  高(3分) 中(2分) 低(1分)
潜在危险 黑客可获取完全验证权限,执行管理员操作,非法上传文件 泄漏了敏感信息 泄漏其它信息
可重现性 攻击者可以以随意再次攻击 攻击者可以重复攻击,但是有时间限制 攻击者很难重复攻击过程
可利用性 初学者在短期内可以掌握攻击方法 熟练的攻击者才能完成攻击 漏洞利用条件非常苛刻
影响用户 所有用户,关键用户 部分用户 极少数用户,匿名用户
可发现性 漏洞很明显,攻击条件很容易获取 有私有区域,部分人可以看到,需要深入挖掘才能发现漏洞 发现漏洞极其困难


2. 安全漏洞checklist

NO 检查点
1 严禁在自己系统处理用户Login,必须使用腾讯公司统一提供的登录接口或者参数openid/openkey登录。

应用中需要考虑对登录态做校验。详见这里的说明。

2 严禁增/删/改防火墙iptables,私自开通高危端口。
3 检查Flash跨域策略文件crossdomain.xml是否合法。
4 检查是否有CSRF漏洞。
5 信息泄露漏洞安全性检查(例如test.cgi、phpinfo.php、info.pho、.svn/entries、HTTP认证泄漏漏洞、管理后台泄漏漏洞、内网信息泄漏漏洞、错误详情信息泄漏等)。
6 检查是否有XSS漏洞(不合法的参数不能在页面原样返回,特别是openid/openkey)
7 检查是否泄漏后台默认文件漏洞
8 检查Flash跨域策略文件的安全性。避免Flash注入javascript或者actionscript脚本在浏览器或者flash中执行跨站攻击。
9 Cookie安全性检查。
10 检查是否有跳转漏洞。
11 检查是否有Header注入漏洞。
12 检查是否有源代码泄漏漏洞。
13 检查是否有Frame-proxy攻击漏洞。
14 检查是否有SQL注入攻击漏洞。
15 检查是否有并发漏洞。
16 敏感信息检查。应用需要对可能造成腾讯公司公关、媒体危机的敏感内容,以及用户生成内容(UGC,由用户发表的言论)进行检查和过滤。

敏感词过滤必须采用腾讯公司提供的敏感词过滤接口。

17 检查通过WEB页面发起的临时会话窗口的所有显示内容。
18 目录浏览漏洞安全性检查
19 检查是否泄漏员工电子邮箱漏洞以及分机号码。

以上信息是否解决您的问题?

Copyright © 1998 - 2017 Tencent. All Rights Reserved.

腾讯公司 版权所有

有问必答 返回顶部