admin管理员组文章数量:1531716
2024年2月14日发(作者:)
(一)安全漏洞检测服务
1.实现目标
对成都血液中心网站、WEB应用和数据库等资产进行安全漏洞扫描,挖掘存在的软件漏洞和安全隐患,发现和弥补系统存在的弱点,避免被黑客攻击造成的负面影响,对下一步网络安全工作的开展提供证据支持和方向。
2.检测平台
成都血液中心网站。
3.漏洞检测服务内容(包括但不限于以下内容)
检测功能 描述
1、 对网站的SQL注入漏洞(包括 GET、POST、Cookie、HTTP 请求头部等的 SQL 注入漏洞等)检测。
2、 对网站的XSS漏洞(包括GET、POST、Cookie、HTTP请求头部、DOM等各类XSS漏洞等)检测。
网站安全漏洞检测
3、 对网站的敏感信息泄露(包括调试信息、错误信息等)检测。
4、 对网站的其他应用组件漏洞检测。
挂马检测 采用多种技术的结合,对网站进行挂马检测。
包括:
备份文件;
数据库文件;
版本控制文件;
各类中间文件;
敏感文件检测
Phpinfo;
服务器探针;
Webshell;
svn 等版本控制器的隐藏文件;
vim 等编辑器留下的中间临时交换文件等;
覆盖 PHP, .NET, ASP, JSP 等服务端语言的源码泄露源码泄露检测
识别检测。
内网地址检测 检测内网地址泄露。
phpinfo 文件 识别检测 PHP 的环境探针文件
覆盖 IIS, Apache, Tomcat, Jboss 等 Web 容器的目目录浏览检测
录浏览识别。
业界通报的重大安对于业界内通报的重大安全漏洞、重大安全隐患和重大全隐患即时专项安安全事件,有针对性对漏洞、隐患和事件,进行安全检全检查 查。
漏洞复测服务 能够通过成都市公安局的漏洞检测感知平台检测。
4.检测频次
每两个月一次。
(二)风险控制
为了保障安全检测过程中可能对业务产生影响,乙方(提供安全漏洞检测服务公司)应采取以下措施来减小甲方(成都市血液中心)风险:
在安全检测中针对线上系统不得使用含有拒绝服务的检测策略(包括资源耗竭型DoS、畸形报文攻击、数据破坏)进行检测;
在检测过程中,乙方发现的所有风险漏洞未经甲方授权,都不得泄露给任何第三方单位或个人;
检测时间以甲乙双方沟通确定的时间进行,不得影响应用业务的使用;
在安全检测过程中如果出现被检测系统没有响应的情况,乙方应立即停止检测工作,与甲方人员一同分析情况,在确定原因后,并待正确恢复系统,采取必要的预防措施(比如调整检测策略等)之后,再继续进行。
乙方检测人员应与甲方系统和安全管理人员保持良好沟通,随时协商解决出现的各种难题。
(四)报告的提交
由乙方对本项目的检测过程数据进行完整记录,最终形成完整有效的检测报告和整改建议等提交给甲方,同时协助甲方技术人员进行整改加固。
(五)其他
投标商根据公司自身情况,认为还可以提供的其他技术支持、服务等。
版权声明:本文标题:安全漏洞检测服务 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1707912100a210327.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论