安全漏洞checklist

更新时间:2024.11.27

安全漏洞评级标准

下面描述了安全漏洞危害等级的评分方法,作为应用安全评级参考:
1、 五项得分累加即得总分。
2、 如果总分是 5-7 分,则是低风险; 8-11分,则是中等风险;12-15分,则是高风险。 
评分标准如下:

 

高(3分)

中(2分)

低(1分)

潜在危险

黑客可获取完全验证权限,执行管理员操作,非法上传文件

泄露了敏感信息

泄露其它信息

可重现性

攻击者可以以随意再次攻击

攻击者可以重复攻击,但是有时间限制

攻击者很难重复攻击过程

可利用性

初学者在短期内可以掌握攻击方法

熟练的攻击者才能完成攻击

漏洞利用条件非常苛刻

影响用户

所有用户,关键用户

部分用户

极少数用户,匿名用户

可发现性

漏洞很明显,攻击条件很容易获取

有私有区域,部分人可以看到,需要深入挖掘才能发现漏洞

发现漏洞极其困难

安全漏洞checklist

NO

检查点

1

严禁在自己系统处理用户Login,必须使用腾讯公司统一提供的登录接口或者参数openid/openkey登录。

应用中需要考虑对登录态做校验。

2

严禁增/删/改防火墙iptables,私自开通高危端口。

3

检查Flash跨域策略文件crossdomain.xml是否合法。

4

检查是否有CSRF漏洞。

5

信息泄露漏洞安全性检查(例如test.cgi、phpinfo.php、info.pho、.svn/entries、HTTP认证泄露漏洞、管理后台泄露漏洞、内网信息泄露漏洞、错误详情信息泄露等)。

6

检查是否有XSS漏洞(不合法的参数不能在页面原样返回,特别是openid/openkey)

7

检查是否泄露后台默认文件漏洞

8

检查Flash跨域策略文件的安全性。避免Flash注入javascript或者actionscript脚本在浏览器或者flash中执行跨站攻击。

9

Cookie安全性检查。

10

检查是否有跳转漏洞。

11

检查是否有Header注入漏洞。

12

检查是否有源代码泄露漏洞。

13

检查是否有Frame-proxy攻击漏洞。

14

检查是否有SQL注入攻击漏洞。

15

检查是否有并发漏洞。

16

敏感信息检查。应用需要对可能造成腾讯公司公关、媒体危机的敏感内容,以及用户生成内容(UGC,由用户发表的言论)进行检查和过滤。

敏感词过滤必须采用腾讯公司提供的敏感词过滤接口。 

17

检查通过WEB页面发起的临时会话窗口的所有显示内容。 

18

目录浏览漏洞安全性检查

19

检查是否泄露员工电子邮箱漏洞以及分机号码。

 

 

更多技术问题
技术咨询
反馈
咨询
目录
置顶