工信部标准-web应用系统检查表_第1页
工信部标准-web应用系统检查表_第2页
工信部标准-web应用系统检查表_第3页
工信部标准-web应用系统检查表_第4页
工信部标准-web应用系统检查表_第5页
已阅读5页,还剩29页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

编号,要求内容,操作指南,检测方式,判断条件,补充说明

webAP一通用一身份验证一01,管理页面采取强口令策略。系统登录验证口令应具备一定的复杂度,1.在口令相关配置中配置口令复杂度,限制口令的最短长度,1.要求相关技术人员提供密码复杂度配置文件或者相应口令管理页面,查看口令复杂度配置;2.开启创建账号功能;3.采用简单的口令,进行账号注册,检查系统是否拒绝此类注册请求;4.使用符合系统规定的复杂的口令,进行账号注册,观察系统是否通过此类注册请求;5.使用成功注册的测试账号登录系统,进行口令修改操作,新的鉴别信息采用口令,验证系统是否拒绝此类口令修改操作;6.使用成功注册的测试账号登录系统,进行身份鉴别信息修改操作,新的口令采用符合系统规定,验证系统是否通过此类口令修改操作,1.系统对口令复杂度进行了配置;2.系统拒绝了使用简单鉴别信息进行注册的用户操作;3.系统通过了使用符合规定的口令进行的用户注册操作;4.系统拒绝了使用简单口令的修改操作;5.系统通过了使用符合规定的口令的修改操作,

webAP一通用一身份验证一02,对用户的最终认证处理过程应放到应用服务器进行。不允许仅仅通过客户端脚本或其他形式在客户端进行验证,应在应用服务器进行认证处理(如果采用集中认证,那么对用户的认证就是放在集中认证服务器进行),在相关配置中配置认证处理方式,1.访谈相关技术人员,确认对用户的认证处理过程是否放到应用服务器进行;2.触发身份认证流程,通过抓包的形式,验证是否在应用服务器端实现对用户的认证处理过程,1.相关技术人员确认实际系统中对用户的认证处理过程放到应用服务器进行;2.实际系统在应用服务器端实现对用户的认证处理,

webAP一通用一身份验证一03,网页上的登录/认证表单应加入强身份认证机制,如验证码、动态口令等。使用强身份认证的目的是为了阻止攻击者使用自动登录工具连续尝试登录,从而降低被暴力破解的可能,在相关配置中增加验证码、动态口令等强身份认证机制,1.登陆系统,输入用户名密码;2.验证系统是否要求输入验证码或动态口令等,登陆操作时,启用了验证码或动态口令卡等认证方式,

webAP一通用一身份验证一04,对于web应用系统自身的管理员账号的敏感账号,如root.system等,应修改为其他名称或者禁用,"在配置文件中删除敏感账号,如root,system等",1.检查相关配置文件或者数据库,是否存在敏感账号;2.开启账号登陆功能;3.输入敏感账号,进行登陆,检查系统是否拒绝此类登陆请求;4.使用成功注册的测试账号登录系统,进行账号修改操作,新的账号使用敏感账号,验证系统是否拒绝此类账号修改操作,1.用admin.system等敏

人人文库> 全部分类> 应用文书 > 技术指导

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论