应用安全合规
2024年12月25日大约 4 分钟安全测试Web漏洞检测应用安全合规渗透测试结果
[一]整体测试结果
Dante Cloud 已通过由第三方公司进行的软件出厂安全测试和国家三级等保测评。
说明
因涉及企业和项目信息,所以不便于再此展示具体测试报告。
[二]Web漏洞检测
采用相关扫描工具对应用系统进行漏洞扫描,根据漏洞扫描结果对存在的漏洞进行风险评估。初测共发现 2 个 Web 漏洞,其中高风险漏洞有 0 个,中风险漏洞有 1 个,低风险漏洞有 1 个。经过整改并复测后,高、中风险漏洞已整改完毕。
[三]应用安全合规
针对等级保护三级系统的防护要求,对于应用安全涉及的“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”以及“资源控制”等控制点进行
提示
具体内容参见国标【GB/T 28448-2019】软件相关部分。官方原文【地址】
检查类别 | 检查内容 | 检查结果 |
---|---|---|
身份鉴别 | 应提供专用的登录控制模块对登录用户进行身份标识和鉴别 | 符合 |
身份鉴别 | 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别 | 符合 |
身份鉴别 | 应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用 | 符合 |
身份鉴别 | 应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 | 符合 |
身份鉴别 | 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数 | 符合 |
访问控制 | 应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问 | 符合 |
访问控制 | 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作 | 符合 |
访问控制 | 应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限 | 符合 |
访问控制 | 应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系 | 符合 |
安全审计 | 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计 | 符合 |
安全审计 | 应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录 | 符合 |
安全审计 | 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能 | 符合 |
剩余信息保护 | 应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中 | 符合 |
剩余信息保护 | 应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除 | 符合 |
通信完整性 | 应采用密码技术保证通信过程中数据的完整性 | 符合 |
通信保密性 | 在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证 | 符合 |
通信保密性 | 应对通信过程中的整个报文或会话过程进行加密 | 符合 |
资源控制 | 当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话 | 符合 |
资源控制 | 应能够对系统的最大并发会话连接数进行限制 | 符合 |
资源控制 | 应能够对单个帐户的多重并发会话进行限制 | 符合 |
[四]渗透测试结果
检测漏洞类型 | 检测结果 |
---|---|
XSS 跨站 | 符合 |
Sql 注入 | 符合 |
用户名密码明文传输 | 符合 |
伪造跨站请求 | 符合 |
越权访问 | 符合 |
上传漏洞 | 符合 |
敏感信息泄露 | 符合 |
目录遍历 | 符合 |
存在测试页面 | 符合 |
上传类型未验证 | 符合 |
慢速 ddos 攻击 | 符合 |
不安全的加密方法 | 符合 |
Oracle 数据库版本漏洞 | 符合 |
未设置 Httponly 标识 | 符合 |
Secure cookie 机制 | 符合 |
Struts 2 开发模式开启 | 符合 |
Weblogic Server Side Request Forgery | 符合 |
CRLF 注入 | 符合 |