(word)中国石化AppScan安全测试报告.docVIP

中国石化资金集中管理信息系统 Web应用安全测试报告 简介 　　本文针对中国石化资金集中管理信息系统，采用IBM Rational的安全测试产品AppScan进行安全测试，并基于此次测试的结果进行分析。 中国石化资金集中管理信息系统应用特点 中国石化资金集中管理信息系统应用采用Jboss4.2.4作为应用服务器，系统使用基于Spring的Acegi进行安全认证和授权；其中还大量采用了Javascript技术，所有其对于url的解析处理，需要动态进行处理。 针对中国石化资金集中管理信息系统应用特点的安全测试设置 针对于中国石化资金集中管理信息系统应用的以上特点，并结合实际使用情况分为三种场景进行测试，测试内容选择了系统的功能1和功能2： 使用用户名/密码，但不进行登陆验证：此场景如同一般用户登陆系统，但不进行登陆验证，即不判断针对特殊应用安全的登陆，是否存在安全问题。 使用用户名/密码，进行登陆验证：此场景选择正常用户登陆系统，进行登陆验证，即判断针对特殊应用安全的登陆，是否存在安全问题。 基于不同角色登陆处理：结合权限较高的admin用户和权限较低的cqusr1用户进行登陆，除了常规的安全的检测，特别还要针对跨权限的安全访问进行判断。 通过以上的配置，结合AppScan的登陆设置就可以了。 测试结果简析