手记

安全测试 Checklist

序号检查项检查方法1端口监听检查 不跨VM访问的端口不能监听在业务IP,以及0.0.0.0上,一般只能在127.0.0.1上

1、使用netstat -an |grep tcp命令检查所有TCP端口

2、根据组网及模块间通信来确保是否跨VM通信.(R2C10为双机)

跨VM访问的端口列表:

不跨VM访问的端口列表:

暂不处理的端口列表:

2端口列表检查 通讯矩阵验证高优先级重视,要与局点针对通讯矩阵达成理解一致

1、通过nmap扫描后,查看是否有通讯矩阵中不存在的端口;

2、检查对应端口的描述是否正确。

3组(域)访问最小原则  比如两个不同ELB之间的虚拟机不能访问4跨域访问协议审视   跨域访问需要HTTPS,SNMP V3等安全协议要求5xx业务域主动访问管理域 需要有明确的原因,并通过SE,PM,测试评估达成一致意见

需要明确业务域与管理域分别是什么。vodaplex业务域访问管理域的场景有:

metadata虚拟机

6各VM最小服务集与客户明确最小集服务,保证C3的最小化安装7管理端口协议认证机制管理端口需要认证的有:Apiserver、Omserver、Cloudservice、IEE、ICC、IAM、ILB、ICS、Hbase8后门检查  固定密码、隐藏帐户、隐藏命令、隐藏参数、隐藏软参,隐藏接口、调试端口/命令检查,可与开发沟通9不安全协议审视   不安全服务(Telnet、FTP、NFS、Samba、RPC、TFTP、r 服务、Netbios、X-Windows、Snmp V1.0/V2.0 )。

1、使用chkconfig检查服务是否存在,默认状态应为关闭

2、如果必须使用该服务,必须支持对应安全服务;

3、如果使用到不安全服务,需要提供安全的策略保证使用。

10口令不能明文在日志中1、梳理口令应用场景,

2、检查是否写将密码打印在日志中

11口令不能明文在配置文件扫描/查看所有配置文件即可12口令不能明文在脚本扫描脚本代码13口令不能明文在数据库1、明确口令入库的场景2、扫描数据库14xxx使用口令复杂度检查1、明确口令种类,检查复杂度15加密算法核查收集自己模块使用的加密算法,核实是否为不安全或私有。禁止DES、RC2、MD5、SHA1、HMAC-MD5、HMAC-SHA1等(非AES128的需要关注)16目录文件权限审视  目录文件权限规定如下:17管理日志审查重启   对xx系统有影响的操作,需要记录日志(重启xx各个服务)18管理日志审查修改   对xx系统有影响的操作,需要记录日志(修改日志级别、配置文件等)19管理日志审查删除   对xx系统有影响的操作,需要记录日志(删除重要资源、配置项)20系统安全加固1、检查项、加固项、加固列表要求统一;

2、加固完成后,不通过的项为0,;

3、加固完成后,检查系统,不通过项为0;

4、加固完成后,根据加固列表中加固项检查系统是否真实的完成加固。

21数据库加固1、检查项、加固项、加固列表要求统一;

2、加固完成后,不通过的项为0,;

3、加固完成后,检查系统,不通过项为0;

4、加固完成后,根据加固列表中加固项检查系统是否真实的完成加固。

22防暴力破解xxx防暴力破解包含:xxx/系统/数据库23数据库敏感文件权限oracle的敏感文件检查Oracle数据库的init.ora、listener.ora等

以下命令检查为空表示没有问题:

find -L $ORACLE_HOME/network/admin/*.ora ! −useroracle−a−groupdba−useroracle−a−groupdba -ls

find -L $ORACLE_HOME/network/admin/*.ora −perm−u=x−o−perm−g=w−o−perm−g=x−o−perm−o=r−o−perm−o=w−o−perm−o=x−perm−u=x−o−perm−g=w−o−perm−g=x−o−perm−o=r−o−perm−o=w−o−perm−o=x -ls

24畸形报文攻击APIserver使用xdefend攻击API,并检查API是否出现异常。25畸形报文攻击Omserver使用xdefend攻击Omserver,并检查API是否出现异常。26更新部分代码的扫描使用fortify扫描更新部分的代码,要求没有高级别漏洞



作者:带头大哥HACK
链接:https://www.jianshu.com/p/1e99e8f3ceec


0人推荐
随时随地看视频
慕课网APP