安全漏洞checklist
安全漏洞評級標(biāo)準(zhǔn)
下面描述了安全漏洞危害等級的評分方法,作為應(yīng)用安全評級參考:
1、 五項得分累加即得總分。
2、 如果總分是 5-7 分,則是低風(fēng)險; 8-11分,則是中等風(fēng)險;12-15分,則是高風(fēng)險。?
評分標(biāo)準(zhǔn)如下:
| ? | 高(3分) | 中(2分) | 低(1分) |
|---|---|---|---|
| 潛在危險 | 黑客可獲取完全驗證權(quán)限,執(zhí)行管理員操作,非法上傳文件 | 泄露了敏感信息 | 泄露其它信息 |
| 可重現(xiàn)性 | 攻擊者可以以隨意再次攻擊 | 攻擊者可以重復(fù)攻擊,但是有時間限制 | 攻擊者很難重復(fù)攻擊過程 |
| 可利用性 | 初學(xué)者在短期內(nèi)可以掌握攻擊方法 | 熟練的攻擊者才能完成攻擊 | 漏洞利用條件非常苛刻 |
| 影響用戶 | 所有用戶,關(guān)鍵用戶 | 部分用戶 | 極少數(shù)用戶,匿名用戶 |
| 可發(fā)現(xiàn)性 | 漏洞很明顯,攻擊條件很容易獲取 | 有私有區(qū)域,部分人可以看到,需要深入挖掘才能發(fā)現(xiàn)漏洞 | 發(fā)現(xiàn)漏洞極其困難 |
安全漏洞checklist
| NO | 檢查點(diǎn) |
|---|---|
| 1 | 嚴(yán)禁在自己系統(tǒng)處理用戶Login,必須使用騰訊公司統(tǒng)一提供的登錄接口或者參數(shù)openid/openkey登錄。 應(yīng)用中需要考慮對登錄態(tài)做校驗。詳見這里的說明。 |
| 2 | 嚴(yán)禁增/刪/改防火墻iptables,私自開通高危端口。 |
| 3 | 檢查Flash跨域策略文件crossdomain.xml是否合法。 |
| 4 | 檢查是否有CSRF漏洞。 |
| 5 | 信息泄露漏洞安全性檢查(例如test.cgi、phpinfo.php、info.pho、.svn/entries、HTTP認(rèn)證泄露漏洞、管理后臺泄露漏洞、內(nèi)網(wǎng)信息泄露漏洞、錯誤詳情信息泄露等)。 |
| 6 | 檢查是否有XSS漏洞(不合法的參數(shù)不能在頁面原樣返回,特別是openid/openkey) |
| 7 | 檢查是否泄露后臺默認(rèn)文件漏洞 |
| 8 | 檢查Flash跨域策略文件的安全性。避免Flash注入javascript或者actionscript腳本在瀏覽器或者flash中執(zhí)行跨站攻擊。 |
| 9 | Cookie安全性檢查。 |
| 10 | 檢查是否有跳轉(zhuǎn)漏洞。 |
| 11 | 檢查是否有Header注入漏洞。 |
| 12 | 檢查是否有源代碼泄露漏洞。 |
| 13 | 檢查是否有Frame-proxy攻擊漏洞。 |
| 14 | 檢查是否有SQL注入攻擊漏洞。 |
| 15 | 檢查是否有并發(fā)漏洞。 |
| 16 | 敏感信息檢查。應(yīng)用需要對可能造成騰訊公司公關(guān)、媒體危機(jī)的敏感內(nèi)容,以及用戶生成內(nèi)容(UGC,由用戶發(fā)表的言論)進(jìn)行檢查和過濾。 敏感詞過濾必須采用騰訊公司提供的敏感詞過濾接口。? |
| 17 | 檢查通過WEB頁面發(fā)起的臨時會話窗口的所有顯示內(nèi)容。? |
| 18 | 目錄瀏覽漏洞安全性檢查 |
| 19 | 檢查是否泄露員工電子郵箱漏洞以及分機(jī)號碼。 |