手机银行代码审计项目招标书.doc-常熟农商银行.doc

江苏常熟农村商业银行股份有限公司 招标编号： 江苏常熟农村商业银行股份有限公司 手机银行代码审计项目招标书 江苏常熟农村商业银行股份有限公司 二O一六年五月十六日 申 明 本招标文件专用于江苏常熟农村商业银行股份有限公司本次手机银行代码审计项目进行招标，江苏常熟农村商业银行股份有限公司对本招标文件及招标文件内容享有解释权。参加投标单位即视为无条件同意本申明并保证对本招标文件可能涉及的江苏常熟农村商业银行股份有限公司商业秘密予以保密，除经江苏常熟农村商业银行股份有限公司书面同意外，任何单位和个人不得为参与本产品投标以外的目的而出版、复制、传播、销售及使用本招标文件。 第一部分 投标函 根据江苏常熟农村商业银行股份有限公司业务发展的需求，现就江苏常熟农村商业银行股份有限公司就手机银行代码审计项目进行招标： 1.招标编号： 2.招标人：江苏常熟农村商业银行股份有限公司 3.项目实施地点： 4.发放标书时间：北京时间2016年5月16日 5.投标截止时间：北京时间2016年5月27日 6.招标人联系方式： 江苏常熟农村商业银行股份有限公司 地址：江苏省常熟市新世纪大道58号 邮政编码：215500 联系人：卢少清 电话号码：0512技术联系人：王国辉 电话号码：0512 江苏常熟农村商业银行股份有限公司 第二部分 项目说明 项目服务范围 审计内容 备注 手机银行系统（APP、服务器端代码） 8大模块，含账户查询、转账汇款、信用卡、个人贷款、投资理财、特殊业务、签约管理、客户服务 项目服务时间及内容 本次项目服务时间为2016年6月1日至2016年6月30日。服务内容主要为： 代码安全审计 对我行手机银行系统源代码进行现场安全审计检测，采用专业的源代码安全审计工具和人工审计结合的方法对源代码安全问题进行分析和检测并验证，从而对源代码安全漏洞进行定级，给出安全漏洞分析报告等，帮助软件开发的管理人员统计和分析当前阶段软件安全的风险、漏洞趋势、跟踪和定位软件安全漏洞，提供软件安全质量方面的真实状态信息。 代码整改修复咨询 依据源代码审计结果，对源代码中存在的漏洞给出相应的修改建议，协助系统开发人员对源代码进行修改，以确保该信息系统源代码安全。 代码安全漏洞复测 针对第一阶段已经发现的漏洞，进行漏洞复测。保证漏洞的生命周期得以闭环。以确保该信息系统的安全性。 技术要求 1、工具辅助审计 至少使用两种行业内知名的代码审计工具进行辅助审计。 2、人工审计 人工审计应遵循CVE公共漏洞字典表、OWASP等行业内通用的漏洞列表进行逐项验证，验证条目包括但不限于如下： 2.1 输入验证 用户数据验证：检查用户提交给应用程序的数据是否经过了校验，校验规则是否完善，对非法字符是否进行了阻断。 接口数据验证：检查外部接口传输给应用程序的数据是否经过了校验，校验规则是否完善，对非法字符是否进行了阻断。 数据库访问安全：检查进入数据库语句的变量是否经过了合法性验证，是否使用了安全的数据库访问方法，是否可能导致SQL注入等漏洞。 文件操作安全：检查应用程序调用系统文件的过程是否安全，文件名、文件路径等变量是否经过了合法性校验，是否可能导致文件上传等漏洞。 命令操作安全：检查应用程序调用系统命令的过程是否安全，进入命令的参数的变量是否经过了合法性校验，是否可能导致命令执行等漏洞。 2.2 身份认证 用户登录逻辑：检查应用程序中用户登录的逻辑是否合理，用户能否通过特定的方法绕过身份认证。 用户密码策略：检查应用程序中用户注册、密码修改等页面中，是否包含密码复杂度检查模块，对用户要设置的密码进行了复杂度验证（密码中至少包含数字、字母和特殊字符，密码长度不小于6位字符），如果不符合密码复杂度要求，禁止提交。 图形验证码：检查应用程序中用户注册、用户登录等页面中，是否存在图形验证码，图形验证码处理机制是否合理，防止用户使用自动化工具进行大量表单提交。 2.3 授权管理 用户权限划分：检查应用程序对用户权限是否进行了严格划分，至少应该包含普通用户和管理员用户，管理员用户能够重置普通用户的密码。 功能权限控制：检查应用程序对所有资源的访问权限是否进行了严格划分，同级别用户间的资源未授权情况下不能相互访问。普通用户不能执行管理员才有权限执行的操作。 2.4 会话管理 会话ID安全：检查应用程序的会话ID是否不可预测，是否放在HTTP GET请求的参数中进行传输。 超时自动注销：检查应用程序在长时间没有用户操作时，是否会自动注销。 cookie安全控制：检查cookie中是否明文存放敏感信息，例如