原创力文档- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
中国石化AppScan安全测试报告
中国石化资金集中管理信息系统
Web应用安全测试报告
1/7
中国石化AppScan安全测试报告
1.简介
本文针对中国石化资金集中管理信息系统,采用IBMRational的安全测试
产品AppScan进行安全测试,并基于此次测试的结果进行分析。
1.1中国石化资金集中管理信息系统应用特点
中国石化资金集中管理信息系统应用采用Jboss4.2.4作为应用服务器,系
统使用基于Spring的Acegi进行安全认证和授权;其中还大量采用了
Javascript技术,所有其对于url的解析处理,需要动态进行处理。
1.2针对中国石化资金集中管理信息系统应用特点的安全
测试设置
针对于中国石化资金集中管理信息系统应用的以上特点,并结合实际使用
情况分为三种场景进行测试,测试内容选择了系统的功能1和功能2:
1)使用用户名/密码,但不进行登陆验证:此场景如同一般用户登陆系统,
但不进行登陆验证,即不判断针对特殊应用安全的登陆,是否存在安全
问题。
中国石化AppScan安全测试报告
2)使用用户名/密码,进行登陆验证:此场景选择正常用户登陆系统,进
行登陆验证,即判断针对特殊应用安全的登陆,是否存在安全问题。
3)基于不同角色登陆处理:结合权限较高的admin用户和权限较低的
cqusr1用户进行登陆,除了常规的安全的检测,特别还要针对跨权限的
安全访问进行判断。
通过以上的配置,结合AppScan的登陆设置就可以了。
2.测试结果简析
结合以上的三个场景,针对部分功能进行安全测试后,初步获得以下测试
结果。
2.1整体内容分析
场景内容安全问题总计问题分类及数量
场景1:用户名/密码登访问192url,发现60问题严重:2类/16个
陆,无登陆验证中等:2类/3个
低等:3类/6个
泄漏:4类/35个
场景2:用户名/密码登访问243url,发现104问题严重:3类/22个
陆,进行登陆验证中等:2类/3个
低等:3类/36个
泄漏:4类/43个
场景3:分角色用户登陆访问192url,发现69问题严重:3类/23个
中等:2类/3个
低等:3类/6个
您可能关注的文档
- 10YIOYE系统系统测试报告各平台系统通用模板.pdf
- 2014123东庐中学开课《燃料的合理利用和开发》自主学习任务单附件3.pdf
- 2017年中考化学试题分项版解析汇编第02期专题72燃料的合理利用与开发含解析.pdf
- 2017课标版人教版化学必修第一册书后练习与应用及答案第一章物质及其变化.pdf
- 2018年产品体验报告范文范文版16页.pdf
- 2018年人教版九年级化学教案:72燃料的合理利用与开发教学文档.pdf
- 20192020学年九年级化学上册课题1空气导学案人教新课标版.pdf
- 20192020学年八年级化学全册第六单元《第二节化石燃料及其利用》第2课时学案鲁教版.pdf
- 20192020年九年级化学上册燃料的合理利用与开发教案新人教版.pdf
- 20192020年九年级化学上册第七单元课题1燃烧和灭火第2课时教学设计新人教版.pdf
文档评论(0)