摘要:
一、越权 技术要求:系统验证客户端数据同时应对会话标识进行验证。 提供凭证:提供所有被检查系统验证客户端数据同时进行会话标识验证的代码或渗透测试报告,防止越权,例如越权修改密码,在验证客户端数据的同时需要对会话标识进行验证,验证是否有权限进行操作。 整改措施:每个需要授权访问的页面都必须核实用户的会 阅读全文
摘要:
一、背景 公司进行安全整改, 技术要求:系统软件所需支撑的WEB容器环境应禁止除GET和POST外其他HTTP(S)方法。 提供凭证:建议在不影响业务的前提下,禁用PUT、DELETE、HEAD、OPTIONS、TRACE等方法。 措施:修改配置,只允许GET、POST方法。 二、技术实现 1、ap 阅读全文
摘要:
一背景 公司安全整改, 要求:系统中对于关键业务操作应确保使用浏览器“后退”功能无法回到上一步操作界面。 提供:凭证提供所有被检查系统关键业务操作后回退视频,视频显示关键业务操作后,使用浏览器的“后退”,无法回到上一步操作界面(例如退出系统、审批等)。 我负责的zbj系统点击退出系统后,在浏览器点击 阅读全文
摘要:
一、背景 公司进行安全整改, 技术要求:会话限制:应能够对应用系统的最大并发会话连接数进行限制; 提供凭证:提供对系统最大并发会话连接数进行限制的截图,需要将所有被检查系统中间件配置截图,如果不限制最大并发连接数,一旦遭到DOS攻击,CPU占用率达到100%,影响服务器性能。 措施:配置系统中间件 阅读全文