信息安全相关鉴定项.PDF

信息安全相关鉴定项 中车长春轨道客车股份有限公司 2019-08-24 中车长春轨道客车股份有限公司 文档修订 版本 日期 修改人员 描述 审核人员 1.0 2019-08-24 陈仁合 创建 胡锐 中车长春轨道客车股份有限公司 一 摘要. 漏洞类型检测项目如下： 检测分类 检测项 SQL注入 跨站脚本攻击 （XSS） XML 外部实体 （XXE）注入 跨站点伪造请求 （CSRF） 服务器端请求伪造 （SSRF） 任意文件上传 任意文件下载或读取 任意目录遍历 .svn/.git源代码泄露 信息泄露 CRLF注入 命令执行注入 Web安全 URL重定向 Json劫持 第三方组件安全 本地/远程文件包含 任意代码执行 Struts2远程命令执行 Spring远程命令执行 缺少 “X-XSS-Protection”头 flash跨域 HTML表单无CSRF保护 HTTP 明文传输 使用GET方式进行用户名密码传输 X-Frame-Options Header 未配置 中车长春轨道客车股份有限公司 检测分类 检测项 任意文件删除 绝对路径泄露 未设置HTTPONLY X-Forwarded-For伪造 明文传输 不安全的HTTP Methods 任意文件探测 加密方式不安全 网络传输安全 使用不安全的telnet协议 验证码缺陷 反序列化命令执行 用户名枚举 用户密码枚举 用户弱口令 会话标志固定攻击 业务逻辑安全 平行越权访问 垂直越权访问 未授权访问 业务逻辑漏洞 短信炸弹 Flash未混淆导致反编译 中间件配置缺陷 中间件弱口令 Jboss反序列化命令执行 Websphere 反序列化命令执行 中间件