返回
web 应用的安全探测技术原理及最佳实践

web 应用的安全探测技术原理及最佳实践

ID:33705035

大小:4.72 MB

页数:38页

时间:2019-02-28

web 应用的安全探测技术原理及最佳实践_第1页
web 应用的安全探测技术原理及最佳实践_第2页
web 应用的安全探测技术原理及最佳实践_第3页
web 应用的安全探测技术原理及最佳实践_第4页
web 应用的安全探测技术原理及最佳实践_第5页
资源描述:

《web 应用的安全探测技术原理及最佳实践》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、安全探测指南(V1.1)KYUTIE二〇一八年三月文档信息文档名称安全探测指南电子文档安全探测指南/MicrosoftWORD2007文件状态□草稿■正式发布□正在修改编写人日期2013年12月20日校对人日期年月日审核人日期年月日批准人日期年月日变更记录变更序号变更原因变更页码变更前版本号变更后版本号更改人批准人生效日期备注目录一、概述61.编写目的62.适用范围63.术语和缩略语64.参考文献65.阅读说明71)阅读指导72)各部门需重点关注内容7二、指南综述7三、角色职责8四、安全探测总体系统架构81.安全运营标准流程82.SANS的五步法划分网络攻击93.OW

2、ASP标准104.自动化的安全探测系统架构121)Nessus的分支OpenVAS132)W3AF基于攻击的WEB安全审计工具143)渗透测试的顶级组合Metasploit和Nexpose14五、Web安全探测指南141.Web安全探测工具选择142.Grandel-scan151)启动GrendelScan扫描程序162)进行扫描173)扫描结果导出194)查看扫描报告203.Owasp-ZAP211)OWASP-ZAP程序启动212)客户端的浏览器设置223)OWASP-ZAP系统配置234)扫描策略设置265)OWASP-ZAP程序扫描参数设置276)主动扫描2

3、87)生成报告、308)扫描报告查看314.W3af321)W3AF启动(gui)322)安全审计扫描333)采用gui方式开始扫描354)报告的导出39六、漏洞修复401.Web安全实现步骤402.Web安全漏洞修复参考40七、附录41一、概述1.编写目的本指南的目的是描述所有公网商务项目Web应用的安全探测技术原理及操作步骤。2.适用范围适用于组织内全部公网商务项目或对Web应用安全要求比较高的商务项目。3.术语和缩略语本文中使用的名词术语和缩略语见下表。表1名词和缩略语序号术语/缩略语说明备注1SANSSysAdmin,Audit,Network,Securit

4、y2OWASPOpenWebApplicationSecurityProject3OpenVASOpenVulnerabilityAssessmentSystem4WAFWebApplicationAttackandAuditFramework4.参考文献表2参考文献参考站点站点名称版本号发布日期作者1.http://sectools.org1.http://www.owasp.org2.http://www.sans.org3.http://cve.mitre.org4.http://www.backtrack-linux.orgBT3r52012年8月1.阅读说明

5、1)阅读指导阅读目的相关内容相关文档想了解安全探测技术原理第四章:总体安全探测架构想了解具体Web按全探测第五章:Web安全探测实践一、指南综述安全探测和漏洞修复是所有运营项目安全保障的最后的一环,同时它也是黑客对网站进行实质性攻击的第一步,所以基于安全运营和安全质量管控的要求,建立自动化的安全探测系统则是实现业务安全运营的必备条件。安全探测指南就是基于安全运营流程和黑客的攻击方法而进行相对应防护的指导性的文档。本指南通过SANS安全运营的理解和黑客5步法攻击理解,推导出了自动化的安全探测系统,进行对XXX商务项目自动化的安全探测和相应的漏洞修复,使公司的所有项目满足

6、安全运营的需求,进而达到安全合规性的要求。文章主要内容包括安全探测理论依据,以及安全探测操作步骤。一、角色职责u安全探测人员:对在线的公网站点进行探测,发布安全报告给相关人员,跟踪安全漏洞修复。u产品线技术负责人:明确安全漏洞的归属,安排相关人员进行整改,确认整改效果,最后进行复查探测。u项目经理:确认安全漏洞,进行整改推进并依据复查探测结果审查安全整改效果。二、安全探测总体系统架构1.安全运营标准流程安全运营流程是SANS组织对IT系统依据ISO27001的PDCA原则建立的系统的闭环营运系统,是指导安全营运的规范性的程序。下图就是符合标准的安全运营的运维流程图。1

7、.SANS的五步法划分网络攻击SANS(SysAdmin,Audit,Network,Security)研究机构(http://www.sans.org)开发的5-阶段的黑客攻击分析模型:1)侦查阶段(获得要攻击网站的有用信息,攻击目标等等)2)探测扫描(扫描网络和系统的安全漏洞,以资利用)3)获得访问权限(利用漏洞攻击获得访问控制权限)4)维持访问(植入后门程序维持以后长久的访问控制权限)5)匿踪(删除访问和操作的历史纪录)基于对于攻击模型的理解,我们解决安全问题首先就是要解决安全漏洞问题,所以我们首先要建立的自动化的安全探测系统,利用自动化的安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。