安全漏洞checklist
更新时间:2024.11.13安全漏洞评级标准
下面描述了安全漏洞危害等级的评分方法,作为应用安全评级参考:
1、 五项得分累加即得总分。
2、 如果总分是 5-7 分,则是低风险; 8-11分,则是中等风险;12-15分,则是高风险。
评分标准如下:
| 高(3分) | 中(2分) | 低(1分) |
潜在危险 | 黑客可获取完全验证权限,执行管理员操作,非法上传文件 | 泄露了敏感信息 | 泄露其它信息 |
可重现性 | 攻击者可以以随意再次攻击 | 攻击者可以重复攻击,但是有时间限制 | 攻击者很难重复攻击过程 |
可利用性 | 初学者在短期内可以掌握攻击方法 | 熟练的攻击者才能完成攻击 | 漏洞利用条件非常苛刻 |
影响用户 | 所有用户,关键用户 | 部分用户 | 极少数用户,匿名用户 |
可发现性 | 漏洞很明显,攻击条件很容易获取 | 有私有区域,部分人可以看到,需要深入挖掘才能发现漏洞 | 发现漏洞极其困难 |
安全漏洞checklist
NO | 检查点 |
|---|---|
1 | 严禁在自己系统处理用户Login,必须使用腾讯公司统一提供的登录接口或者参数openid/openkey登录。 应用中需要考虑对登录态做校验。 |
2 | 严禁增/删/改防火墙iptables,私自开通高危端口。 |
3 | 检查Flash跨域策略文件crossdomain.xml是否合法。 |
4 | 检查是否有CSRF漏洞。 |
5 | 信息泄露漏洞安全性检查(例如test.cgi、phpinfo.php、info.pho、.svn/entries、HTTP认证泄露漏洞、管理后台泄露漏洞、内网信息泄露漏洞、错误详情信息泄露等)。 |
6 | 检查是否有XSS漏洞(不合法的参数不能在页面原样返回,特别是openid/openkey) |
7 | 检查是否泄露后台默认文件漏洞 |
8 | 检查Flash跨域策略文件的安全性。避免Flash注入javascript或者actionscript脚本在浏览器或者flash中执行跨站攻击。 |
9 | Cookie安全性检查。 |
10 | 检查是否有跳转漏洞。 |
11 | 检查是否有Header注入漏洞。 |
12 | 检查是否有源代码泄露漏洞。 |
13 | 检查是否有Frame-proxy攻击漏洞。 |
14 | 检查是否有SQL注入攻击漏洞。 |
15 | 检查是否有并发漏洞。 |
16 | 敏感信息检查。应用需要对可能造成腾讯公司公关、媒体危机的敏感内容,以及用户生成内容(UGC,由用户发表的言论)进行检查和过滤。 敏感词过滤必须采用腾讯公司提供的敏感词过滤接口。 |
17 | 检查通过WEB页面发起的临时会话窗口的所有显示内容。 |
18 | 目录浏览漏洞安全性检查 |
19 | 检查是否泄露员工电子邮箱漏洞以及分机号码。 |
