序號檢查項
檢查方法
1埠監聽檢查
不跨vm訪問的埠不能監聽在業務ip,以及0.0.0.0上,一般只能在127.0.0.1上
1、使用netstat -an |grep tcp命令檢查所有tcp埠
2、根據組網及模組間通訊來確保是否跨vm通訊.(r2c10為雙機)
跨vm訪問的埠列表:
不跨vm訪問的埠列表:
暫不處理的埠列表:
2埠列表檢查
通訊矩陣驗證高優先順序重視,要與局點針對通訊矩陣達成理解一致
1、通過nmap掃瞄後,檢視是否有通訊矩陣中不存在的埠;
2、檢查對應埠的描述是否正確。
3組(域)訪問最小原則
比如兩個不同elb之間的虛擬機器不能訪問
4跨域訪問協議審視
跨域訪問需要https,snmp v3等安全協議要求
5xx業務域主動訪問管理域
需要有明確的原因,並通過se,pm,測試評估達成一致意見
需要明確業務域與管理域分別是什麼。vodaplex業務域訪問管理域的場景有:
metadata虛擬機器
6各vm最小服務集
與客戶明確最小集服務,保證c3的最小化安裝
7管理埠協議認證機制
管理埠需要認證的有:apiserver、omserver、cloudservice、iee、icc、iam、ilb、ics、hbase
8後門檢查
固定密碼、隱藏帳戶、隱藏命令、隱藏引數、隱藏軟參,隱藏介面、除錯埠/命令檢查,可與開發溝通
9不安全協議審視
不安全服務(telnet、ftp、nfs、samba、rpc、tftp、r 服務、netbios、x-windows、snmp v1.0/v2.0 )。
1、使用chkconfig檢查服務是否存在,預設狀態應為關閉
2、如果必須使用該服務,必須支援對應安全服務;
3、如果使用到不安全服務,需要提供安全的策略保證使用。
10口令不能明文在日誌中
1、梳理口令應用場景,
2、檢查是否寫將密碼列印在日誌中
11口令不能明文在配置檔案
掃瞄/檢視所有配置檔案即可
12口令不能明文在指令碼
掃瞄指令碼**
13口令不能明文在資料庫
1、明確口令入庫的場景2、掃瞄資料庫
14***使用口令複雜度檢查
1、明確口令種類,檢查複雜度
15加密演算法核查
收集自己模組使用的加密演算法,核實是否為不安全或私有。禁止des、rc2、md5、sha1、hmac-md5、hmac-sha1等(非aes128的需要關注)
16目錄檔案許可權審視
目錄檔案許可權規定如下:
17管理日誌審查重啟
對xx系統有影響的操作,需要記錄日誌(重啟xx各個服務)
18管理日誌審查修改
對xx系統有影響的操作,需要記錄日誌(修改日誌級別、配置檔案等)
19管理日誌審查刪除
對xx系統有影響的操作,需要記錄日誌(刪除重要資源、配置項)
20系統安全加固
1、檢查項、加固項、加固列表要求統一;
2、加固完成後,不通過的項為0,;
3、加固完成後,檢查系統,不通過項為0;
4、加固完成後,根據加固列表中加固項檢查系統是否真實的完成加固。
21資料庫加固
1、檢查項、加固項、加固列表要求統一;
2、加固完成後,不通過的項為0,;
3、加固完成後,檢查系統,不通過項為0;
4、加固完成後,根據加固列表中加固項檢查系統是否真實的完成加固。
22防暴力破解
***防暴力破解包含:***/系統/資料庫
23資料庫敏感檔案許可權
oracle的敏感檔案檢查oracle資料庫的init.ora、listener.ora等
以下命令檢查為空表示沒有問題:
find -l $oracle_home/network/admin/*.ora ! \( -user oracle -a -group dba \) -ls
find -l $oracle_home/network/admin/*.ora \( -perm -u=x -o -perm -g=w -o -perm -g=x -o -perm -o=r -o -perm -o=w -o -perm -o=x \) -ls
24畸形報文攻擊apiserver
使用xdefend攻擊api,並檢查api是否出現異常。
25畸形報文攻擊omserver
使用xdefend攻擊omserver,並檢查api是否出現異常。
26更新部分**的掃瞄
使用fortify掃瞄更新部分的**,要求沒有高階別漏洞
測試各階段的check List
常用測試checklist,可繼續補充 迭代測試前checklist 檢查時間 檢查人序號 內容檢查結果 1提前確定測試範圍以及提交測試包的時間和方式 2評估工作量,確定測試週期,確定測試重點以及測試策略 3安排測試計畫,並郵件發出 4根據測試內容,準備測試環境和測試資料 5跟蹤測試包提交時間 測試...
系統測試用例評審checklist
規則要素內容 使用範圍 審查結果 否 的理由 免 的理由 規則建議是否 免規範性規則 用例是否按照公司規定的模板進行編寫?用例的編號是否符合規範命名要求 專案縮寫 子特性 st 測試型別 編號,如 haidaticket login st function 001 用例跟方案中的用例是否一致或者是否...
iOS內購實現及測試Check List
您是否在itunes connect中註冊了您的iap專案,並將其設為cleared for sale?您是否正確填寫了version cfbundleversion 和build cfbuildnumber 兩個數字?兩者缺一不可。您是否在開啟iap以後重新生成過包含iap許可的provision...