中国石化AppScan安全测试报告.pdfVIP

Web 中国石化 Web 应用安全测试报告 中国石化 应用安全测试报告 中国石化资金集中管理信息系统 中国石化资金集中管理信息系统 Web 应用安全测试报告 Web 应用安全测试报告 IBM Rational AppScan  IBM Rational AppScan  Web 中国石化 Web 应用安全测试报告 中国石化 应用安全测试报告 简介 1. 简介 1. 本文针对中国石化资金集中管理信息系统，采用 IBM Rational 的安全测试 本文针对中国石化资金集中管理信息系统，采用 IBM Rational 的安全测试 产品 AppScan 进行安全测试，并基于此次测试的结果进行分析。 产品 AppScan 进行安全测试，并基于此次测试的结果进行分析。 中国石化资金集中管理信息系统应用特点 中国石化资金集中管理信息系统应用特点 中国石化资金集中管理信息系统应用采用 Jboss4.2.4 作为应用服务器，系 中国石化资金集中管理信息系统应用采用 Jboss4.2.4 作为应用服务器，系 统使用基于 Spring 的 Acegi 进行安全认证和授权 ；其 中还大量采用 了 统使用基于 Spring 的 Acegi 进行安全认证和授权 ；其 中还大量采用 了 Javascript 技术，所有其对于 url 的解析处理，需要动态进行处理。 Javascript 技术，所有其对于 url 的解析处理，需要动态进行处理。 针对中国石化资金集中管理信息系统应用特点 的安全测 针对中国石化资金集中管理信息系统应用特点 的安全测 试设置 试设置 针对于中国石化资金集中管理信息系统应用的以上特点，并结合实际使用情 针对于中国石化资金集中管理信息系统应用的以上特点，并结合实际使用情 况分为三种场景进行测试，测试内容选择了系统的功能 1 和功能 2： 况分为三种场景进行测试，测试内容选择了系统的功能 1 和功能 2： 1）使用用户名/密码，但不进行登陆验证：此场景如同一般用户登陆系统， 1）使用用户名/密码，但不进行登陆验证：此场景如同一般用户登陆系统， 但不进行登陆验证，即不判断针对特殊应用安全的登陆，是否存在安全 但不进行登陆验证，即不判断针对特殊应用安全的登陆，是否存在安全 问题。 问题。 IBM Rational AppScan  IBM Rational AppScan  Web 中国石化 Web 应用安全测试报告 中国石化 应用安全测试报告 2）使用用户名/密码，进行登陆验证：此场景选择正常用户登陆系统，进行 2）使用用户名/密码，进行登陆验证：此场景选择正常用户登陆系统，进行 登陆验证，即判断针对特殊应用安全的登陆，是否存在安全问题。 登陆验证，即判断针对特殊应用安全的登陆，是否存在安全问题。 3）基于不同角色登陆处理：结合权限较高的 admin 用户和权限较低的 3）基于不同角色登陆处理：结合权限较高的 admin 用户和权限较低的 cqusr1 用户进行登陆，除了常规的安全的检测，特别还要针对跨权限的 cqus