4、Testin安全测试介绍方案.pptx

Testin安全产品介绍 2 © Testin. Confidential. All Rights Reserved. Testin安全测试解决方案 – 概述 3 安全测试流程 © Testin, All Rights Reserved 4 APP应用安全评估关注点 © Testin, All Rights Reserved 5 © Testin. Confidential. All Rights Reserved. APP应用安全评估主要内容 检测内容主要包括：环境安全、应用安全、用户操作安全、业务安全、数据安全、通信安全、服务器端安全等7个方面对APP进行全方位的渗透测试 序号 检测项 说明 1 环境安全 测试的对象主要在APP应用程序运行环境安全，检测APP运行环境是否安全 2 应用安全 测试的对象主要在APP本身应用程序代码的安全，帮助开发人员验证测试APP本身应用包的安全风险和逆向检测【现在移动端APP自身的安全问题更为重要，需要开发者在产品开发期间就做好安全工作】 3 用户安全 测试的对象主要在APP使用者的基本操作安全，快速发现APP中的密码体系设计是否完整。使测试人员更专注于分析密码体系的设计缺陷 4 业务安全 测试的对象主要在APP业务功能实现过程和逻辑的安全，检测APP运行执行业务操作流程的安全可靠性 5 数据安全 测试的对象主要在APP处理数据过程的安全性，对APP运行和关闭状态的数据进行安全检测。帮助工作人员测试APP数据的生产、传输、存储、使用各个环节中的薄弱点 6 通讯安全 检测应用的数据在网络传输过程是否安全。测试过程中快速发现APP数据在网络传输过程中的安全薄弱点 7 服务端安全 测试服务端程序及平台系统的安全性。快速及时发现服务端隐藏的安全风险，提高服务器的抗攻击能力和安全性 6 © Testin. Confidential. All Rights Reserved. APP详细检测内容：1/3 7 © Testin. Confidential. All Rights Reserved. APP详细检测内容：2/3 8 © Testin. Confidential. All Rights Reserved. APP详细检测内容：3/3 9 Web站点安全评估关注点 © Testin, All Rights Reserved 10 © Testin. Confidential. All Rights Reserved. Web站点安全评估主要内容 检测内容主要包括：配置管理类、认证管理类、会话管理类、输入验证类、文件操作类、不安全URL类、服务器端敏感信息安全等7个方面进行渗透测试 序号 检测项 说明 1 配置管理 测试的对象主要在Web应用系统在部署生产环境时因研发/运维人员疏忽导致安全问题 2 认证管理 测试的对象主要在Web应用系统身份认证机制，包括客户身份认证和服务端身份认证检测 3 会话管理 测试的对象主要在Web应用系统会话安全管理机制安全 4 输入验证 测试的对象主要在Web应用系统参数输入校验机制安全，包括SQL注入、XSS漏洞等 5 文件操作 测试的对象主要在Web应用系统处理上传文件数据过程的安全性 6 不安全URL 检测Web应用系统的URL跳转、常见木马后门文件 7 服务端敏感信息 测试服务端程序及平台系统的安全性。帮助测试人员快速及时发现服务端隐藏的安全风险，提高服务器的抗攻击能力和安全性 11 © Testin. Confidential. All Rights Reserved. Web详细检测内容 12 © Testin. Confidential. All Rights Reserved. 渗透测试技术规范及标准 银监会监管条例： 中国银行业监督管理委员会：《电子银行安全评估指引》 中国银行业监督管理委员会：《银行业金融机构信息科技外包风险管理指引》 中国银行业监督管理委员会办公厅: 《关于展开手机银行安全自查的通知》 中国银行业监督管理委员会办公厅: 《关于展开电子银行系统安全性渗透测试的通知》 监管机构技术规范 中国人民银行：《网上银行信息系统通用安全规范》 中国人民银行：《金融业信息安全风险提示》 2013年第1期、第2期 YD/T 1438-2006数字移动台应用层软件功能要求和测试方法 YD/T 2307-2011数字移动通信终端通用功能技术要求和测试方法 JR/T 0092-2012中国金融移动支付 客户端技术规范 JR/T 0095-2012中国金融移动支付 应用安全规范 国内外通用技术规范 ISO/IEC 27002 “信息系统的获取、开发和保持”部分 12.1 信息系统的安全要求 12.2.信息系统的正确处理 12.3.加密控制 12.4.系统