WEB服务器安全测试方案.doc

WEB服务器安全测试方案测试宗旨确保网站能够安全的运行，所有文件处在安全的网络环境之下，并受到应有的保护。测试目的本次测试旨在检验过去一段时间同事们的劳动成果，并确保网站开发能在安全的环境下运行。保护公司的权益不受侵害。测试工具网站啄木鸟WebPecker 微软扫描工具MBSA随着互联网技术的高速发展，互联网信息安全也成为每一个电商都需要注重和关注的焦点。在本次测试中，将从：WIN2003系统安全，SQL数据库安全，应用程序安全这三方面安全为基点，以手动人工测试和必要的专业工具为工作利器，将服务器有可能存在的漏洞揪出来并提出改善意见。 WIN2003系统安全。以下测试基本都以人工手动方式进行逐项检查。1、系统安装、分区格式 看硬盘是否分有多个区，各分区格式是否采用安全的NTFS格式；系统盘是否与其它应用程序分别安装与不同的磁盘分区，确保系统盘得纯净，避免感染病毒的机会。2、是否安装好必要的防病毒软件，并开启防火墙。3、IIS组件安装，端口管理 安装IIS，仅安装必要的 IIS 组件，开放必要端口，检查其它服务端口是否关闭。4、系统更新 检查系统是否更新了微软发布的安全补丁，是否有系统更新计划。5、系统用户配置，是否有完备的账号管理制度。5.1、检查是否有多个管理员账号，管理员密码安全是否达标，密码长度最少不少于14位。5.2、检查账户组策略、本地策略是否有做相关安全设置。6、系统网络服务安全6.1、是否禁止WINDOWS默认缺省的共享，如:C$,D$,admin$。6.2、是否关闭不需要的服务，如：Distributed File System局域网共享服务，PrintSpooler打印机服务等。7、相应策略审核 组策略是一个很好定义安全的策略，而且可以定义策略也很多，检查是 否做了相关策略的设定。如：登录事件，账户登录事件，目录服务访问等。8、IIS服务配置安全 8.1、是否使用默认WEB站点，如果使用是否将它与系统盘分开存放。 8.2、是否删除了IIS默认的Inetpub目录，此目录一般在系统盘下。 8.3、是否删除了系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts。8.4、是否删除了IIS不必要扩展映射。8.5、是否更改IIS日志的保存路径。 数据库安全测试。 数据库安全测试将通过人工手动方式和专业测试工具来进行，手动方式主要测试方面有数据库的增、删、查、改等方面测试；测试工具主要用于SQL注入漏洞。1、SQL配置安全1.1、检查System Administrators 角色是否有多个，减少管理员账户的建立。1.2、是否使用SA账户，如果使用是否为其配置超级复杂的密码。1.3、是否隐藏SQL Server、更改默认1433端口。2、数据库增、删、查、改操作。这个测试将跟数据库用户权限结合测试。 2.1、创建SQL Server登录账户，并赋予他相应表权限，在这个权限设置下对相应表做增、删、查、改等测试；并试图跨权限操作看是否成功。 2.2、数据库安全规范的更新时间和更新方式，主要是针对已离职员工后台的账户管理，是否有相应的制度对其及时的规范管理。 2.3、数据库日志是否自动更新，并在出现问题时及时出现警示。 2.4、SQL注入测试。使用网站啄木鸟软件对网站进行SQL注入测试，如果发现注入漏洞，将进行SQL注入验证。 2.5、管理入口检查。使用网站啄木鸟软件扫描后台管理后门。 3、数据库备份、恢复测试。 3.1、测试数据库备份、恢复所需时间，检查是否有完备的数据备份制度。 应用程序安全测试。 1、网站上线测试。此处测试使用白盒测试。 1.1、前台用户数据测试。测试会员的相关功能以及用户如果一定时间内没有活动，是否提示重新登陆。 1.2、检查网页是否有显示网站的路径，扫描敏感信息，防止一些关键信息泄露。比如过期的页面，或者过期的信息。 1.3、测试SSL/TLS的密码规范，检查加密系统并查看是否有弱密码。仔细检查https服务配置；如果Web应用程序提供了其他使用SSL/TLS封装的服务，也应当对其进行仔细检查。 1.4、测试SSL证书的有效性，主要测试SSL证书的颁发机构是否合法，S