客户对我们K3CLOUD系统进行了安全测试,提出了一些问题。麻烦各位老师帮忙解答一下,谢谢。
(一)以下问题需答复:
1、系统配置文件中的附件的上传、存储、下载路径,需进行密文存储,请发送加密后的截图。
2、系统发布的虚拟目录中,附件上传所在的目录执行权限需要去掉脚本的执行、读取权限。请发送设置后的截图。
3、系统附件的虚拟目录下存储的附件名应与上传的附件名不同。请给出上传和存储的附件名对比截图。
4、系统的数据通信是否已加密(包含接口数据传输加密)?如果已加密,请给出加密截图,并说明。
5、系统的数据完整性采用的何种手段来保证,是否采用事务处理机制? 如果是,请给出实例代码截图,并详细说明
6、系统是否存在敏感信息(如银行卡卡号、身份证、手机号、密码 等信息)?如果存在,敏感信息是否在系统中有存储?如果存储,需要在数据库中、日志中进行加密。
7、系统无附件上传功能?如果有,请说明具体页面
8、系统是普通登录?如果是,请给出登录用户的密码在数据库中的加密截图。如果是,需要添加验证码
9、系统配置文件中的数据库连接信息需进行密文存储,请发送加密后的截图。
(二)以下问题需解决:
1、系统的输入框(所有页面)针对以下关键字和特殊字符,未跳转到错误页面
(下述字符,有哪些影响到业务系统使用的,请具体列出,并说明原因)
Sql关键字(输入格式:前后带空格,大、小写,半角):"and", "exec", "count", "chr", "mid", "master", "or", "truncate", "char", "declare", "join"
特殊符号1(输入格式:前后不带空格,大、小写,半角):"insert", "select", "delete", "update","create","drop",
特殊符号2(输入格式:前后不带空格,半角):<,>,/*,*/,’(英),|,; ,“&”,“$” ,“%”,“"” (英) ,“\”,“()”, “+”,“,”(英文)
特殊符号3(输入格式:前后不带空格,大、小写,半角):“0x0d”,“0x0a”
2、系统的URL地址(所有参数地址:get、post方法)未过滤以下关键字和特殊字符,并跳转到错误页面
(下述字符,有哪些影响到业务系统使用的,请具体列出,并说明原因)
Sql关键字(输入格式:前后带空格,大、小写,半角):"count", "chr", "mid", "master", "truncate", "char", "join"
特殊符号1(输入格式:前后不带空格,大、小写,半角):"insert", "select", "delete", "update","create","drop",
特殊符号2(输入格式:前后不带空格,半角):<,>,/*,*/,’(英),|,; ,“$” ,“"” (英文) ,“\”,“()”, “+”,“,”(英文)
特殊符号3(输入格式:前后不带空格,大、小写,半角):“0x0d”,“0x0a”
推荐阅读